SICUREZZA NELLE RETI WIRELESS

Transcript

1 SICUREZZA NELLE RETI WIRELESS 1

2 WEP WEP: Wired Equivalent Privacy Anno 1999: implementato nel protocollo Obiettivi: Confidenzialità: i dati viaggiano su un canale cifrato Controllo dell accesso: proteggere la rete wireless da accessi indesiderati Integrità: impedire la modifica dei messaggi usando un algoritmo di checksum 2

3 WEP: implementazione Ogni apparato della rete wireless (access point e client) devono condividere una Wep Key Implementazioni: Standard utilizza una chiave di 40 bit Vulnerabile ad attacchi Brute Force Extended Utilizza una chiave di 104 bit Resistente ad attacchi Brute Force 3

4 Checksum CRC-32 Dati divisi in blocchi di lunghezza fissa Per ogni blocco viene calcolata una checksum con l algoritmo CRC a 32 bit CRC32(M) Prima della cifratura, la checksumviene concatenata al blocco di dati PlainText = (M, CRC32(M)) 4

5 Cifratura RC4 Si sceglie casualmente un vettore di inizializzazione di 24 bit (IV) Si utilizza l algoritmo RC4 per ottenere una chiave di cifratura di lunghezza fissa Sviluppato nel 1987 da Ronald Rivest(RSA) Genera una sequenza pseudo-casualedi bit, arbitrariamente lunga 5

6 Cifratura RC4 E un algoritmo simmetrico KeyStream = RC4(IV, WepKey) Per ottenere il messaggio cifrato, si esegue uno XOR tra Plaintext e Keystream CipherText = PlainText KeyStream Quindi: C = (M, CRC32(M)) RC4(IV, WepKey) 6

7 Trasmissione Il pacchetto inviato nella rete è composto dal vettore di inizializzazione concatenato al testo cifrato. IV CipherText 7

8 Decifratura Il destinatario concatena l IVcon la WepKey e utilizzando RC4 ottiene la KeyStream PlainText = CipherText KeyStream Calcola la checksumsui dati confrontandola con quella contenuta nel PlainText 8

9 WEP: Vettore d inizializzazione Dimensione di 24 bit Generato dall apparato wireless che invia il pacchetto Trasmesso in chiaro Necessario per calcolare il KeyStream 9

10 IV Se lo stesso IVviene utilizzato più di una volta, il protocollo non è più sicuro Numerose implementazioni si limitano ad aumentare di 1 l IVad ogni pacchetto trasmesso In molte schede, l IVviene posto a 0 quando vengono re-inizializzate 24 bit: ~ 17 milioni di combinazioni Inviando pacchetti di 1500 bytesa 11Mbps sono sufficienti 5 ore per esaurire tutte le possibili combinazioni di IV 10

11 IV Cosa succede se intercettiamo due ciphertext cifrati con gli stessi IVe WepKey? Proviamo ad eseguire uno : C1 C2= = (P1 KeyStream) (P2 KeyStream) = = P1 P2 Abbiamo eliminato la chiave di cifratura! E se conosciamo uno dei due Plaintext: P1 (C1 C2) = P1 (P1 P2) = P2 11

12 Vulnerabilità RC4 Nel 1995, venne scoperta una vulnerabilità sull algoritmo RC4 Ben 4 anni prima dell implementazione del WEP! Utilizzando la crittografia differenziale, si può risalire alla Wep Key Esistono KeyStreamin cui l IVdetermina un gran numero di bit Senza questa vulnerabilità, la violazione del protocollo WEP non sarebbe possibile 12

13 Vulnerabilità CRC-32 Algoritmo che genera un immagine di 32 bit Progettato per individuare errori casuali nelle comunicazioni Non è un codice di integrità crittograficamente sicuro Attacco Packet Tampering: Il checksumè concatenato al blocco dati La posizione dei bit dei dati e del checksumsono conosciuti anche dopo la cifratura Esistono tecniche per modificare i bit dei dati e del checksum senza causare errori di validazione Il tutto all interno del pacchetto crittografato 13

14 WEP: Limiti Debolezze dell algoritmo RC4 IV troppo brevi Consentito riutilizzo dell IV Verifica dell integrità non sicura a livello crittografico Nessun metodo integrato per l aggiornamento delle chiavi 14

15 WPA WPA: Wi-Fi Protected Access Passo in avanti rispetto a WEP Si cerca di chiudere le falle di sicurezza Realizzato per essere compatibile con apparati WEP attraverso un aggiornamento firmware Novità: Autenticazione degli utenti attraverso il protocollo EAP Nuovo sistema di cifratura TKIP IV più lungo Nuovo algoritmo per l integrità (Michael) 15

16 PSK Mode Modalità Non richiede un server per l autenticazione Viene usato un segreto condiviso EnterpriseMode Richiede un server per l autenticazione Utilizza il protocollo RADIUS per l autenticazione e la distribuzione delle chiavi Gestione delle credenziali degli utenti centralizzata 16

17 Autenticazione WEP non forniva strumenti per l aggiornamento ed il cambio delle chiavi Il protocollo EAP fornisce un framework efficace per autenticare e controllare il traffico degli utenti 17

18 EAP e 802.1x Stabiliscono come devono essere trasportate le informazioni di autenticazione Non sono un metodo di autenticazione Permettono di utilizzare differenti metodi di autenticazione: Password Challenge-response PKI 18

19 EAP: entità Supplicant(client wireless) Desidera utilizzare un servizio Authenticator(Access Point) Mette a disposizione i servizi Tutte le sessioni passano attraverso l authenticator Authenticationserver Server dedicato all autenticazione Può utilizzare diversi protocolli (CHAP, PAP, Kerberos, ) 19

20 Schema di comunicazione Supplicant(client wireless) Desidera utilizzare un servizio Authenticator(Access Point) Mette a disposizione i servizi Tutte le sessioni passano attraverso l authenticator Authenticationserver Server dedicato all autenticazione Può utilizzare diversi protocolli (CHAP, PAP, Kerberos, ) 20

21 EAP 802.1X Facilitata la gestione della rete Centralizzate le decisioni di autenticazione e autorizzazione Diminuisce il carico di lavoro dell acces point Non offre alcuna protezione crittografica Non fornisce il metodo concreto di autenticazione 21

22 RADIUS Remote Authentication Dial In User Service Utilizzato per le comunicazioni tra Access Point e Server di Autenticazione Si adatta a vari metodi di autenticazione Le comunicazioni tra server e Access Point non sono cifrate E necessario utilizzare un canale di comunicazione sicuro La password tra server e AP è statica, bisogna custodirla con attenzione 22

23 Tipi di messaggi RADIUS Access Request: generato dall accesspointper poter autenticare un client. Contiene un challenge casuale a cui il server dovrà rispondere. Access Challenge: challengeinviata dal server all AP, ridirezionataal client, utilizzata per l autenticazione. Access Accept: messaggio del server che indica l avvenuta autenticazione Access Reject: messaggio del server, indica un autenticazione fallita 23

24 WPA: confidenzialità e integrità TKIP: Temporary Key Integrity Protocol Il nuovo protocollo TKIP è stato progettato come un involucro intorno al WEP E possibile implementarlo via software, per consentire il riutilizzo dell hardware esistente 24

25 Integrità: Michael Message Integrity Check Algoritmo di integrità (MAC) Utilizza due chiavi segrete condivise di 32 bit Offre protezione da attacchi di modifica dei pacchetti Degrado delle prestazioni dell AP 25

26 Individuazione attacco Se WPA rileva nell arco di un secondo due tentativi di modifica di pacchetti, assume di essere sotto attacco Cancella le chiavi utilizzate Dissocia il dispositivo Attende un minuto prima di ripetere l associazione Facile strumento per attacchi DoS 26

27 WPA: IV L IVviene utilizzato come contatore sequenziale dei pacchetti inviati Difesa contro replay-attack All inizio della trasmissione è impostato a 0 Viene incrementato di un unità ad ogni pacchetto inviato Un pacchetto viene rifiutato se l IVè minore o uguale all ultimo ricevuto Non supporta il QoS 27

28 WPA: mescolamento chiavi TKIP utilizza chiavi temporanee Costruisce i KeyStreamin maniera differente da WEP Si elimina l utilizzo della stessa chiave per tutti i collegamenti Si toglie correlazione tra l IVin chiaro e la chiave del pacchetto 28

29 Mescolamento delle chiavi Ad ogni cambio della chiave temporale Si combina il MAC addresscon la chiave temporale applicando uno XOR Si applica una S-BOX (Sostitution Box) invertibile Vengono create chiavi intermedie differenti per ogni stazione Per creare la chiave di cifratura: Si applica un algoritmo simile al Michael, combinando l IV con la chiave intermedia Si ottiene una chiave di 128 bit 29

30 WPA: chiavi temporali Due chiavi temporali 128 bit per la cifratura 64 bit per l integrità Coppia di chiavi diverse per ogni verso della comunicazione Vengono cambiate entro 2 16 pacchetti trasmessi, per prevenire il riutilizzo dello stesso IV 30

31 TKIP Un dispositivo per comunicare si deve autenticare 802.1x PSK key In fase di autenticazione viene creata una master key, utilizzata per tutta la durata della comunicazione I set di chiavi vengono creati e scambiati in maniera segreta utilizzando la master key 31

32 WPA: trasmissione Viene calcolata l integrità, generando il MIC dell intero messaggio Il MIC viene concatenato al messaggio Il messaggio viene diviso in blocchi Ad ogni blocco viene assegnato un numero di sequenza Si utilizza l algoritmo di mescolamento delle chiavi per creare una nuova chiave di cifratura Si esegue l algoritmo WEP La chiave di cifratura viene utilizzata al posto della Wep Key 32

33 WPA: ricezione Recupera la temporarykey associata alla comunicazione Con l IV verifica la correttezza del numero di sequenza Effettua il mescolamento delle chiavi per ottenere la chiave di decifratura Esegue l algoritmo WEP Ricostruisce la sequenza di pacchetti ed esegue la verifica di integrità (Michael) 33

34 802.11i Il protocollo WPA è stato un passaggio intermedio in attesa del nuovo standard di sicurezza Nuovo meccanismo di sicurezza WPA2 Richiede nuovo hardware Obiettivo:separazione tra autenticazione e crittografia-integrità 34

35 802.1x L architettura rimane quella utilizzata in WPA Si crea un nuovo standard di fatto: EAP-TLS Sviluppato da Microsoft Si utilizza un canale TLS sul protocollo EAP Mutua autenticazione tra client e server attraverso i certificati Autenticazione più sicura 35

36 WPA2: AES-CCMP Nuovo algoritmo di cifratura: AES-CCMP Variante di AES I protocolli di cifratura ed integrità lavorano a stretto contatto AES-CM per la cifratura CBC-MAC per l integrità 36

37 AES-CM AES: cifratura a chiave privata Chiavi e blocchi di 128 bit Richiede maggiore potenza di calcolo Cifra il payloade il MIC Autentica l header e il payload 37

38 CBC-MAC Nuovo algoritmo per la creazione del Message Integrity Check Strettamente legato alla cifratura AES Per la generazione del valore MIC utilizza: Header Dimensione del payload Payload 38

39 WPA2: creazione pacchetto Il payload viene cifrato con AES-CM Viene creato il MIC usando l headere il payload cifrato Il MIC viene cifrato utilizzando AES-CM 39

40 Regole per la sicurezza Utilizzare il protocollo WPA2 con password forti Disattivare il broadcast dell SSID Limitare il raggio del segnale wireless alle sole zone utili Applicare filtri sul MAC address Aggiornare il firmware degli Access Point Considerare la rete wireless una rete untrusted 40