| |
 | | http://www.securitymanager.de/magazin/artikel_1498_hakin9_wlan_sicherheit.html |
Autor: Yannick von Arx
Mit der bevorstehenden Verabschiedung vom IEEE Standard 802.11n und dessen erhöhten Reichweite und Datenrate werden vermehrt Unternehmen die drahtlose Übertragungstechnik in bestehende Infrastrukturen implementieren. Hersteller bezeichnen im allgemeinen Wi-Fi Protected Access (WPA) und IEEE 802.11i (WPA2) als sicher. Der Autor zeigt in diesem Artikel als Einführung die Schwachstellen in der Authentizität, Vertraulichkeit und Integrität von Wired Equivalent Privacy (WEP) auf und widmet sich der Sicherheit von WPA und WPA2, beschreibt theoretische Ansätze und potentielle Schwachstellen.
Einführung
Im Vergleich zu kabelgebundenen Umgebungen legen drahtlose Netzwerke andere Anforderungen im Bezug auf die Sicherheit fest. Um Zugriff auf ein kabelgebundenes Netz zu erhalten, bedarf es dem physikalischen Zugriff auf zentrale Verbindungsstellen (Hubs und Switches), Netzwerkdosen oder durch splitting von Twisted Pear Kabeln.
Aufgrund der Gegebenheit von Funkwellen welche sich unkontrolliert horizontal und vertikal ausbreiten, kann der Sendebereich eines Access Points nur schwer durch Gebäudemauern eingefasst und von der Aussenwelt abgeschirmt werden. Während der Datenfluss in einem leitungsgebundenen Netzwerk vorgegeben ist, verbreiten sich elektromagnetische Wellen über die Gebäudemauern hinaus. Ein Angreifer muss sich also lediglich in den Abdeckungsbereich eines Funknetzes begeben, um potentiellen Zugriff auf Ressourcen und übertragene Informationen, dem Datenstrom zu erhalten.
Durch die besonderen Eigenschaften von Wireless Netzwerken und die potentiell vorhandenen Angriffsvektoren wurde in 802.11 als optionaler Teil die Gewährleistung von folgenden Sicherheitsaspekten definiert:
Sicherheitsanforderungen
Authentizität: Soll sicher stellen, dass die Identität der Senderstation und allenfalls des Empfängers verifiziert werden kann, bevor eine Kommunikation zwischen den Parteien zustande kommt.
Integrität: Stellt sicher, dass die vom Sender übertragenen Informationen unverändert beim Empfänger eintreffen.
Vertraulichkeit: Soll sicher stellen, dass nur der Sender und die Empfängerstation die übertragenen Informationen lesen können.
Um die Authentizität, Integrität und Vertraulichkeit von Informationen zu Schützen, wurde von der Wi-Fi Alliance Wired Equivalent Privacy (WEP) entworfen.
WEP soll durch sein Authentifizierungsverfahren Pre Shared Key (PSK), durch den Prüfsummenalgorithmus Cyclic Redundancy Check (CRC) und durch die Stromchiffre Rivest Cipher 4 (RC4) die besprochenen Sicherheitsaspekte erfüllen.
IEEE 802.11 Sicherheitsmechanismen
Der 1997 verabschiedete Standard IEEE 802.11 bietet nachfolgende zwei Sicherheitsmechanismen, welche in der Praxis keinen verlässlichen Schutz darstellen und mit etwas Know-How überwindbar sind.
Closed System
Im Gegensatz zum Basic Service Set Identifier (BSSID) welcher die MAC-Adresse des Access Point (AP) darstellt, kann der Service Set Identifier (SSID) beliebig gewählt werden, mit der Ausnahme dass die Zeichenkette nicht mehr als 32 Stellen besitzt. Somit stellt die SSID den Eingangspunkt zum drahtlosen Netzwerk durch das aus senden von Bacon Frames (BF) dar. Die logische Folgerung lautet also, dass jeder Client, welcher sich in Reichweite des Funknetzes befindet und mit einem WLAN Chipsatz ausgestattet ist, den Namen und somit den Eingangspunkt zum Netzwerk sieht. Dies kann unterbunden werden, indem man am Access Point das aussenden der SSID desaktiviert.
Bei dieser Einstellung, spricht man von einem Closed System, was aber nicht heisst, dass mit dem Verbergen und der Kenntnis der korrekten SSID durch die eingeweihten Personen die Authentizität sichergestellt werden kann. Ein Angreifer nutzt einen einfachen Workaround um dennoch die BSSID des WLAN mit einem Wireless Netzwerksniffer zu Gesicht zu bekommen.
MAC Filtering
Eine weitere bekannte Konfiguration auf Seiten des Access Point, stellt das MAC-Adressen Filtering dar. Der AP stellt dem Administrator eine Whitelist, in welche die MAC-Adressen der Clients eingetragen werden können, die auf das Netzwerk zugreifen dürfen zur Verfügung. Daneben besteht eine Blacklist, auf welche alle Stationen eingetragen werden, welchen den Zugriff untersagt ist.
Auf den ersten Blick stellt das MAC-Filtering einen interessanten Ansatz dar. Mag der Aufwand für eine stets aktuelle MAC-Liste für ein privates WLAN Netz noch akzeptabel sein, so ist dieser in einem Unternehmen, mit vielen Endgeräte, Neuanschaffungen und mobilen Clients (Besucher, Kunden) nahezu unmöglich in akzeptabler Zeit zu meistern, wenn man den Aufwand und Ertrag der Lösung betrachtet.
Ein Angreifer umgeht unsere Schutzmassnahme indem er eine Datenstrom-Analyse durchführt und sich beliebige Absender und Empfänger MAC-Adressen aus dem Ethernet-Frame notiert. Eine gewonnene MAC-Adresse unterstützt den Angreifer, indem er die ins Silizium gebrannte Adresse seiner Netzwerkkarte durch die gewonnene MAC-Adresse Softwaremässig verändert und sich somit unter gefälschter Identität am Wireless Netzwerk authentifizieren kann.
Wie aufgezeigt, löst in 802.11 auch eine MAC-Filterung neben einem Closed System (hidden SSID) die Problematik der Authentizität nicht.
Wired Equivalent Privacy
Der IEEE Standard 802.11 und dessen bekannte Erweiterungen a, b, g und n sehen keine Sicherheitsmassnahmen zum Schutz der Authentizität, Integrität, und Vertraulichkeit vor. Greifende Sicherheitsmechanismen sind somit optional und wurden in Wired Equivalent Privacy (WEP) beschrieben.
Authentifizierungsmechanismen
Die Authentizität wird in WEP durch zwei Ansätze - Open System Authentication und Shared Key Authentication (PSK) versucht gewährleistet zu werden.
Auch in der Anwendung von WEP selbst, gibt es optionale Teile, wie die Authentifizierung in diesem Falle. Nahezu alle Geräte auf dem Markt haben deshalb die nachfolgenden Modi Standardgemäss desaktiviert. Diese lassen sich durch die Unterstützung von WEP jedoch leicht aktivieren.
Open System Authentication
Bei der Open System Authentication wird jeder Authentication Request automatisch zugelassen. Es findet somit keine weitere Prüfung der Identität statt. Der Authentication Request kann wie folgt beschrieben werden:
Der AP sendet durch seine Existenz Bacon Frames aus, welche der Client empfängt und einen Authentication Request an den AP stellt, welcher diesen unmittelbar mit einer Authentication Success Nachricht beantwortet. Der Client ist nun authentifiziert.
Wie leicht zu erkennen ist, verdient diese Methode den Begriff „Authentifizierung“ nur schwer. Manche Hersteller welche die Open System Authentication empfehlen, implementieren zusätzlich ein Prüfungsverfahren gegen eine Liste von erlaubten MAC-Adressen (White List).
Die Open System Authentication ist eine zweischneidige Angelegenheit, da diese Methode keine „richtig“ Verifikation der Identität bereitstellt. Bietet dennoch einige sicherheitstechnische Vorteile gegenüber der zweiten Authentifizierungsmethode von WEP.
Shared Key Authentication
Die Shared Key Authentication ist eine mit WEP abgesicherte Authentifizierung. Zum Einsatz kommt das sogenannte Challenge / Response Verfahren welches die Kenntnis des geheimen Schlüssels (KBSS) voraussetzt.
Das eingesetzte Challenge / Response Verfahren basiert ebenfalls auf WEP, bringt also die gleichen Schwächen mit und setzt den gleichen geheimen Schlüssel wie nachfolgend zur Verschlüsselung der Informationen voraus. Der Ablauf im PSK-Modus kann wie folgt dargestellt werden:
Der AP sendet durch seine Existenz Bacon Frames aus, welche der Client empfängt und einen Authentication Request an den AP stellt. Dieser Request kann als Aufforderung zur Authentifikation verstanden werden. Der AP erzeugt eine Zufallszahl in variabler Länge, adäquat zur ausgehandelten Verschlüsselunglänge (40 bit oder 104 bit) und sendet diese im Klartext als Challenge (Herausforderung) an den Client. Der Client verschlüsselt die erhaltene Zufallszahl nun symmetrisch mittels RC4 und dem geheimen Schlüssel (KBSS). Danach sendet er den Chiffretext als Response dem AP zurück. Der AP entschlüsselt nun die erhaltene Response mit RC4 und der gespeicherten Kopie des geheimen Schlüssels. Er vergleicht die entschlüsselte Response mit der anfänglich generierten Challenge. Der Client ist erfolgreich authentifiziert wenn die beiden Zufallszahlen übereinstimmen.
Die zweite Authentifizierungsmethode stellt sich bei erster Betrachtung als sicher heraus. Betrachten wir jedoch Schritt 2 (Challenge) und Schritt 3 (Response) etwas genauer, fällt schnell auf, dass bei diesem Verfahren dieselbe Nachricht einem in Klartext und einmal verschlüsselt übertragen wird. Kryptografisch eine schweres Sicherheitsdefizit, was den ganzen Authentifizierungsvorgang durch die Schwächen von WEP zunichte macht.
Der Angreifer kann in unserem Fall einen Netzwerk-Sniffer einsetzen und unseren Authentifizierungs-Vorgang im PSK-Modus aufzeichnen. Durch die in WEP eingesetzte Stromchiffre RC4 welche zur Ver- und Entschlüsselung XOR (exklusiv-ODER-Verknüpfung) einsetzt, kann von der aufgezeichneten Challenge (Klartext) der korrekte Keystream berechnet werden. Challenge XOR Response (Chiffretext) ergibt den Keystream, welcher wiederum unseren geheimen Schlüssel in verschlüsselter Form enthält.
Mit dem erhaltenen Keystream (RC4 || IV + KBSS) kann der Angreifer sich nun selbst mittels dem PSK-Verfahren am AP authentifizieren. Er sendet einen Request, erhält die Challenge, welche der Angreifer nun mittels des Keystream verschlüsselt (Challenge XOR Keystream) und die Response (Chiffretext) zurück an den AP sendet. Dieser wiederum entschlüsselt die Response mit dem hinterlegten geheimen Schlüsselt und stellt einen Vergleich zwischen Challenge und Response auf. Erhalten beide die gleichen Zufallswerte, hat sich der Angreifer erfolgreich am AP authentifiziert.
Wie gesehen, kann auch das zweite, vermeintlich sichere Authentifizierungs-Verfahren Shared Key den Anforderungen, welche die Authentizität stellt nicht gerecht werden. WEP verwendet sowohl zur Authentifizierung wie auch zur Verschlüsselung den gleichen geheimen Schlüssel. Durch das mithören eines gesamten Authentifizierungsvorganges im Shared Key Modus, kann leicht der Keystream berechnet werden, welcher wiederum zur Verschlüsselung und Einschleusung von Nachrichten eingesetzt werden kann.
Es wird deshalb empfohlen, beim Einsatz von WEP dennoch auf die Open System Authentication zu setzen. Somit wird nicht bereits beim Authentifizierungsvorgang der geheime Schlüssel, welcher primär zur Verschlüsselung der Nutzdaten eingesetzt wird, entblösst.
Integritätsprüfung
Die Integrität von mit WEP verschlüsselten Informationen wird durch den Cyclic Redundancy Check (CRC) versucht sicherzustellen. Von denen sich im Klartext befindlichen Nutzdaten, welche zu verschlüsseln und zu übertragen sind, wird mit dem CRC-Algorithmus eine 32 bit lange Prüfsumme (Integrity Check Value [ICV]) erzeugt und an das Paket angehängt. Danach werden die Nutzdaten + Prüfsumme verschlüsselt und übertragen sowie vom Empfänger entschlüsselt. Als erstes wird nun die 32 bit lange Prüfsumme mittels CRC von den Nutzdaten bestimmt und mit der angehängten Prüfsumme verglichen. Stimmen die 32 bit Werte überein, wird davon ausgegangen, dass die übertragenen Informationen nicht manipuliert respektive beschädigt wurden. Das Packet wird angenommen und weiter verarbeitet. Sind die Prüfsummen nicht identisch, wird das Packet verworfen und eine Meldung wird an den Absender gesandt.
CRC ist für die Entdeckung von Fehlübertragungen ausgezeichnet. Nicht jedoch für eine Integritätsprüfung, da sich der CRC-Algorithmus linear verhält und gegen Modifikationen nicht gewappnet ist. So kann ein Angreifer die Nutzdaten manipulieren und mit etwas Feingefühl die CRC Prüfsumme adäquat anpassen. Der Empfänger hat dann keine Möglichkeit zu erkennen, ob die Nachricht manipuliert wurde.
Dies zeigt auf, dass selbst die Integrität von Informationen mittels WEP nicht sichergestellt werden können.
Vertraulichkeit
Um die Vertraulichkeit garantieren zu versuchen, werden die Informationen mittels WEP verschlüsselt. WEP basiert im allgemeinen auf dem symmetrischen Stromchiffrat RC4 welches den Klartext paketweise mit Hilfe eines geheimen Schlüssel (KBSS) von definierter Länge (40 bit oder 104 bit) und einem Initialisierungsvektor (IV) in Chiffratdaten umwandelt.
Geheimer Schlüssel
Der geheime Schlüssel besteht aus wahlweise 40 bit oder 104 bit und muss allen Parteien, welche am Wireless LAN teilnehmen wollen bekannt sein. Der Schlüssel wird also auf dem Access Point und den Clients hinterlegt. Somit wird für das ganze drahtlose Netzwerk ein Schlüssel (Shared Key) verwendet. Ein 40 bit Schlüssel besteht aus 10 hexadezimalen Zeichen, ein 104 bit Schlüssel aus 26 hexadezimalen Zeichen. In der Praxis werden oft sogenannte Passphrase Key-Generatoren eingesetzt, welche es erlauben, eine ASCII Zeichenfolge einzugeben und daraus einen Hex-Schlüssel in 10 oder 26 Zeichen zu erhalten. Diese Möglichkeit stellt sich als sehr praktisch in der Anwendung heraus, sollte jedoch nicht eingesetzt werden. Viele pseudo- Schlüsselgeneratoren weisen Schwächen auf, bei denen die Schlüssellänge von 40 bit potentiell auf 21 bit (Newsham Attacke) verkürzt wird, und einen Brute-Force Angriff erfolgreich ausgehen lassen.
Initialisierungsvektor
der Initialisierungsvektor (IV) hat eine Länge von 24 bit und bildet zusammen mit dem Schlüssel den RC4 Seed. Daraus resultiert sich auch die stets angepriesenen Verschlüsselungen von 64 bit und 128 bit, wobei der IV korrekterweise nicht dazugerechnet werden darf. Der IV ist in WEP nicht an eine Anweisung gebunden, sollte sich jedoch zwischen jedem zu verschlüsselnden Datenpaket ändern um nicht stets einen identischen Keystream zu erhalten.
RC4 Pseudo Random Number Generator
Um den angesprochenen Keystream zu erhalten, wird der RC4 Seed (bestehend aus KBSS und IV) mit Hilfe des RC4 Pseudo Random Number Generator (PRNG) erzeugt. Hier ist es ganz wichtig, dass ein Keystream nicht zweimal verwendet wird, da ansonsten mittels XOR-Verknüpfung auf Informationen geschlossen werden kann.
Der erzeugte Keystream aus KBSS und IV dient als Eingabe für die XOR-Verknüpfung mit dem Klartext.
Stromchiffrat
Synonym zum Keystream wird mittels CRC eine 32 bit lange Prüfsumme der Nutzdaten erzeugt und als ICV an die Daten angehängt. Die resultierte Nachricht (M + ICV) wird mit dem Keystream (RC4 [IV + KBSS]) XOR-Verknüpft und der IV wird den resultierenden Chiffratdaten im Klartext vorangestellt. Übermittelt wird im Endeffekt (IV + C).
Entschlüsselung
Der Empfänger nutzt den geheimen Schlüssel sowie dem Chiffrat angefügten IV im Klartext welchen den RC4 Seed bilden. Mittels des RC4 Pseudo Random Number Generator (PRNG) wird aus dem RC4 Seed wiederum der Keystream. Das Chiffrat wird mit dem Keystream XOR-Verknüpft und als Ergebnis erhält man den Klartext + ICV. Mittels CRC wird der ICV vom Klartext gebildet und mit dem angehängten ICV verglichen. Sind die Werte identisch, wird das Packet angenommen ansonsten verworfen.
Initialisierungsvektor
Die erste Problematik stellt sich bereits beim IV dar, welcher 24 bit lang ist und somit 16,8 Mio. Varianten annehmen kann, um den Keystream variabel beeinflussen zu können. Ein Stromchiffrier-Algorithmus kann nur dann sicher sein, wenn der generierte Keystream für jede zu verschlüsselnde Information anders ausfällt. Werden zwei Chiffrate mit identischem IV abgefangen, kann in den meisten Fällen auf den Keystream geschlossen werden. In der Praxis hat sich gezeigt, dass bereits nach 5000 gesendeten Paketen wiederholte IVs verwendet werden und somit IV-Kollisionen entstehen.
Eine weitere Problematik stellen schwache IVs (weak IV) dar welche Rückschlüsse auf den geheimen Schlüssel ziehen. 9000 IVs werden als schwach bezeichnet. Je mehr schwache IVs aufgezeichnet werden, desto grösser die Chance auf den ganzen geheimen Schlüssel schliessen zu können. Dieser Angriffsvektor wird als FMS Attacke bezeichnet.
WEP schreibt zudem nicht vor, dass der IV für jedes Datenpaket variabel ausfallen muss. Implementiert werden meist Zähler die den 24 bit Wert um Eins erhöhen. Durch keine solche Beschreibung in WEP, kann der Angreifer so auch denselben Keystream unbegrenzte Male einsetzen. Vorausgesetzt der geheime Schlüssel wird vom Betreiber nicht manuell gewechselt.
Die aufgezeigten Schwachstellen beziehen sich auf 40 bit und 104 bit Schlüssel, da in beiden die Anwendung von 24 bit IVs der Fall ist.
Schlüssellänge
Die Länge des geheimen Schlüssels von 40 bit ist viel zu kurz. Mit einem üblichen Notebook und einem mitgeschnittenen Chiffrat, kann der Schlüssel innert akzeptabler Zeit per Brute-Force oder Wörterbuch Attacke aufgedeckt werden. Sobald der Angreifer den korrekten Schlüssel gefunden hat, ist er in der Lage, den ganzen Netzwerkverkehr mitzulesen bis der gemeinsame Schlüssel durch den Betreiber gewechselt wird, was beim Schlüsselmanagement von WEP stets mit Aufwand verbunden ist. Schlüssel mit einer Länge von 104 bit oder Proprietäre längere Varianten (232 bit) können momentan gegen Brute-Force Attacken in akzeptabler Zeit noch bestehen.
Dennoch muss zwischen statischen Brute-Force Attacken und dynamischen Angriffsvektoren in passiver und aktiver Form unterschieden werden. Letztere beiden bieten beachtliche Möglichkeiten um 40 und 104 bit Schlüssel innert weniger Minuten zu brechen. Eine allgemeine Dauer zum entblössen eines WEP-Schlüssels kann nicht genannt werden, da nebst der Schlüssellänge die Angriffsmethodik sowohl in aktiver oder passiver Anwendung differenziert werden muss.
Client und Access Point Verifikation
Im Authentifizierungsverfahren wird lediglich die Identität des Clients anhand einer Shared Key Authentication verifiziert. Der Access Point bleibt beim Konzept WEP aussen vor. Somit ist es einem Angreifer ein leichtes sich beim Client als Access Point auszugeben und den Vermittler (Man-in-the-Middle Attacke) zwischen Client und dem „echten“ Access Point zu spielen. Im Endeffekt kann der Angreifer den Vermittler spielen um Informationen mitzulesen, Daten zu manipulieren. In der Praxis fordert der Angreifer den Client lediglich auf, sich Anzumelden und kommt somit in Besitz des geheimen Schlüssels welchen er nun für eigene Zwecke verwendet.
Fluhrer Mantin Shamir
Die genannte FMS Attacke welche auf schwache Initialisierungsvektoren abzielt, funktioniert indem in passiver Form eine grosse Menge an verschlüsselten Paketen aus dem Zielnetzwerk gesammelt werden müssen. Dies ist technisch einfach zu realisieren, allerdings sehr zeitaufwändig. Bei FMS gilt als Faustregel das 5 bis 10 Millionen Pakete nötig sind. In der Realität kann die Menge aufgrund von Gegebenheiten ziemlich variieren. Je mehr schwache IVs aufgezeichnet werden, desto grösser die Chance, auf den gesamten Schlüssel schliessen zu können. Auf diese Weise wird bitweise der Shared Key aufgedeckt.
Dieser Angriff ist zudem nur dann möglich wenn schwache IVs vorkommen, was viele Access Points neuerer Bauart durch Proprietäre Schutzmechanismen wie WEP PLUS (auch genannt WEP+) unterbinden.
Improved FMS
Eine weitere Methodik passiver Familie, stellt Improved FMS dar. Mit der neuen Angriffsmethode lässt sich die zu sammelnde Anzahl drastisch auf rund 500‘000 - 2‘000‘000 Pakete reduzieren. Somit ist es erstmals möglich, dass ein passiver Angriff in wenigen Minuten bei hohem Traffic zum Erfolg führt.
KoreK
Eine weitere Angriffsform besteht, welche es unnötig macht, schwache IVs zu sammeln um auf den geheimen Schlüssel schliessen zu können. Beim sogenannten KoreK Angriff besteht die Relevanz in den Paketen mit einzigartigen IVs. Sobald einige hunderttausend dieser Pakete mitgeschnitten wurden, kann eine statische Krypto-Analyse in wenigen Sekunden bis hin zu Minuten Erfolg versprechen.
Re-Injizierung
Aktive Angriffsmethoden gegenüber der Vertraulichkeit von WEP bestehen durch Reinjection Attacken, welche mitgeschnittene Pakete wieder dem Datenverkehr des drahtlosen Netzwerkes anfügen respektive einschleusen. Als Ziel hat die Re-Injizierung das anregen von Traffic um schneller an die gezielte Menge von nötigen IVs zu gelangen.
Wi-Fi Protected Access
Nach bekannt werden der zahlreichen Schwachstellen von WEP bestand der Anspruch auf die Ausschmerzung der Schwachstellen. Der sich in Arbeit befindlicher IEEE-Standard 802.11i sah vielversprechend aus, wurde jedoch nach jahrelanger Diskussion erst im Sommer 2004 verabschiedet. Bis dahin wollte Niemand warten, um wieder ein vernünftig sicheres WLAN betreiben zu können.
Die Möglichkeiten respektive Ratschläge der Spezialisten, lauteten bis dahin, die Verschlüsselung auf höheren Ebenen vorzunehmen. Zum Beispiel durch IPsec und VPN Tunneling. Diese Methoden ersetzten jedoch nicht die sicherheitstechnischen Ansprüche der Netzwerkebene 2. Zudem war IPsec speziell in IPv4 Netzen von Laien nicht einzurichten und bedurften die Hilfe eines Spezialisten.
Daraufhin beschloss die Wi-Fi Alliance unabhängig der geführten Diskussionen in den zugehörigen RFCs einen eigenen quasi „Hersteller Standard“ zu schaffen. Dieser Pseudostandard wurde Wi-Fi Protected Access, kurz WPA genannt und war eine Teilmenge des sich im Draft befindenden 802.11i.
WPA sollte von Anfang an nicht einen völlig neuen Standard darstellen, da in absehbarer Zeit die Einführung von 802.11i vor der Tür stand und deren technischen Gegebenheiten völlig neue Hardware voraussetzen sollte. WPA sollte also kompatibel mit gegenwärtigen WLAN Karten welche WEP oder Proprietäre Varianten einsetzen sein. Ein Firmware-Upgrade sollte die meisten neuen Karten WPA fähig machen.
Überblick
Durch diese Vorgaben wurde WPA als WEP-Ersatz konzipiert und soll primär die Schwachstellen der Authentizität, Integrität und Vertraulichkeit ausmustern.
Die neu geschaffene Vorabversion von 802.11i basiert auf derselben RC4 Stromchiffre welche auch in WEP zum Einsatz kommt. Im Gegensatz zum 24 bit IV von WEP, wurde in WPA die IV-Länge auf starke 48 bit verlängert. Die in WEP bekannten 40 oder 104 bits lange geheime Schlüssel wurden in WPA volle 128 bit lang. Um die Integrität sicherzustellen wurde CRC fallen gelassen und durch den Message Integrity Check (MIC) ersetzt.
Wichtig zu wissen ist, dass die Integrität und Vertraulichkeit in WPA universal geregelt wurde. Die Authentizität jedoch von der eingesetzten WPA-Methode abhängig ist. Beim Einsatz von WPA spricht man im Allgemeinen von WPA Personal und WPA Enterprise.
WPA Personal nutzt einen Pre Shared Key welchen allen WLAN Teilnehmenden vorab bekannt sein muss und adäquat zum Shared Key in WEP funktioniert.
Bei WPA Enterprise macht der Access Point gebrauch von der generellen Methodik 802.1X, einem RADIUS Server und einer Authentifizierungs-Variante von EAP (Extensible Authenication Protocol).
Personal
Bei der Soho-Variante WPA Personal erfolgt die Authentifizierung über einen Pre Shared Key (PSK) welchen allen Stationen und dem Access Point bekannt sein muss. WPA-PSK benötigt lediglich eine Client-Karte und einen WPA-tauglichen AP. Ein Authentifizierungsserver ist in dieser Konstellation nicht nötig. Die Passwortlänge beträgt zwischen 8 und 63 Zeichen. WPA Personal eignet sich für Heimnetze und Wireless LANs kleiner Unternehmen mit einer überschaubaren Anzahl an drahtlosen Endgeräten.
Enterprise
Die zweite Methode namens WPA Enterprise benötigt neben Client- und Access Point-Hardware einen RADIUS Server zur Authentifizierung. Die Authentifizierung mittels WPA benötigt einige Hilfsprotokolle unter anderen 802.1X und EAP-Varianten. WPA Enterprise wurde in Gedanken an KMUs und grössere Unternehmen entwickelt, welche grosse Netzwerkressourcen individuell sichern möchten und mit einer grossen Anzahl an Clients zu tun haben. Die Enterprise Variante stellt mit dem Authentifizierungs-Server ein flexibles Keymanagement dar.
IEEE 802.1X
Das Kernstück des Authentifizierungsverfahren und Schlüsselmanagements in WPA stellt der Standard 802.1X dar. Dieser Standard wurde ursprünglich zur Authentifizierung von Ports auf Switches in drahtgebundenen Netzwerken genutzt. Mit dieser Technik können unbekannte Clients vom Netzwerk ferngehalten werden und müssen sich erst authentifizieren um durch einen Port Zugriff zu erhalten. Diese Methode lässt sich ausgezeichnete für drahtlose Netzwerke nutzen. IEEE 802.1X beschreibt somit eine Methode zur Authentifizierung und Autorisierung von Clients an Netzwerkressourcen.
IEEE 802.1X Instanzen
802.1X kennt drei Instanzen. Einerseits den Supplicant. Dies ist der bittende Anwender welcher sich authentifizieren möchte. Der Authenticator ist ein Vermittler (Access Point) welcher Anfragen von Clients entgegennimmt und an eine Instanz weiterleitet die über deren Authentifizierung bestimmt. Hat sich der Supplicant erfolgreich authentifiziert, gibt der Authenticator den Zugriff auf die gewünschte Ressource frei. Drittens gibt es den eigentlichen Authentication-Server (RADIUS) welcher gegenüber hinterlegten Informationen prüft ob dem Supplicant durch den Authenticator Zugriff gewährt werden darf. RADIUS fällt also die Entscheidung und ist fürs Accounting zuständig.
Um die Authentifizierung durchführen zu können benötigen wir neben dem IEEE-Standard einen Satz an Authentifizierungsprotokollen, welche uns durch EAP (Extensible Authentication Protocol) bereitgestellt werden.
Extensible Authentication Protocol
EAP beschreibt einen Satz an Authentifizierungs-Mechanismen. Das korrekte Protokoll wird währen der Authentifizierungsphase zwischen Supplicant und Authenticator ausgehandelt. Die Vielfalt an möglichen Methoden ist allerdings auch die grösste Schwachstelle von EAP. WPA kann mit EAP-MD5 und LEAP umgehen welches ein Challegne / Response Verfahren anwendet. Auf Seiten Zertifikat basierte Authentifizierung, versteht sich 802.1X mit EAP-TLS und EAP-PEAP.
Integritätsprüfung
Obergriff der Integrität unter WPA nimmt das Protokoll TKIP (Temporal Key Integrity Protocol), eine Teilmenge von 802.11i ein. TKIP adressiert die bestehende Problematik der Verschlüsselung und Integrität von WEP. TKIP verwendet neben CRC als Prüfsumme für Übertragungsfehler den Message Integrity Check (MIC) einen zusätzlichen Hashwert. Bei MIC werden die zu übertragenen Informationen fortlaufend nummeriert und eine Prüfsumme von 64 bit wird über den Datenteil sowie der Quell und Zieladresse des Paketes gebildet. Anschliessend wird die Prüfsumme angehängt. Von Nachricht + MIC wird nun der ICV mittels CRC gebildet und es resultiert Nachricht + MIC + ICV. Der Empfänger überprüft die vorlaufende Nummer und verwirft alle Pakete die nicht zu dieser passen. Dadurch dass der MIC über den MAC-Header gebildet wird, soll verhindert werden dass diese Angaben gefälscht werden können und für spätere Angriffszwecke missbraucht werden. Nach einer definierten Anzahl in einer bestimmten Zeitperiode eintreffenden gefälschten oder fehlerhaften Paketen terminiert der AP die Verbindung zum Client. Dieser muss sich daraufhin von neuem einwählen.
Vertraulichkeit
Um die Vertraulichkeit gewährleisten zu können, verwendet WPA das TKIP Protokoll. TKIP nutz den RC4-Algorithmus mit einer verbesserten Schlüsselberechnung namens Fast Packet Keying (FPK) und eine Schlüssellänge von vollen 128 bit. Optional beschreibt WPA das symmetrische Kryptosystem Advanced Encryption Standard (AES). Durch den höheren Performanceverbrauch wurde AES erst fester Bestandteil von IEEE 802.11i welcher dementsprechend neue leistungsfähigere WLAN-Chipsätze benötigte.
48 bit Initialisierungsvektor
Der Initialisierungsvektor wurde zudem auf eine Länge von 48 bit angehoben was bedeutet dass ein Angreifer mehrere dutzend Jahre verweilen müsste, um eine Kollision vorzufinden. Gleichzeitig wurde der IV als Sequenzzähler namens TKIP Sequence Counter (TSC) eingeführt. Anstatt wie bei WEP mit einem beliebigen Wert initialisiert zu werden, startet der IV mit TKIP bei 0 und wird um den Wert 1 bei jedem Paket erhöht. Somit werden gegen Replay Attacken vorgebeugt welche „alte“ IVs aus Keystreams verwenden. Die Toleranz des Empfängers liegt bei minus 16, was heisst dass Pakete mit einem TSC kleiner als -16 aus dem erlaubten Bereich an Sequenznummern fallen und somit verworfen werden.
Per-Packet Key
Ein grosses Problem von WEP stellen die besprochenen schwachen Schlüssel dar. Mit WPA werden solche bereits im Vorfeld behoben. Gegenüber WEP ist zusätzlich von Bedeutung, dass jedes einzelne Paket mit einem neuen temporären Schlüssel (Per-Packet Key) verschlüsselt wird. Somit wird gegenüber WEP nicht mehr ein einziger statischer Schlüssel verwendet.
Diese von TKIP eingesetzten temporären Schlüssel namens Per-Packet Key werden aus diversen Parametern zusammengesetzt. Als Grundlage dienen Schlüssel welche bei der Authentifizierung ausgehandelt wurden und welche als „Temporal Key“ bekannt sind. Der Temporal Key wird mit der MAC-Adresse des Senders und einer Sequenznummer kombiniert was schlussendlich den Per-Packet Key ergibt. Als Sequenzzähler für die Sequenznummer wird der 48 bit lange Initialisierungsvektor verwendet.
Wichtig nicht zu vergessen ist dass der Architektur von TKIP und somit von WPA stets der Mechanismus von WEP die Stromchiffre RC4 zugrunde liegt. Der „Glu“ besteht lediglich aus erweiterten Sicherheitsfunktionen wie das vergrössern von bit Längen um Kryptoanalysen und Berechnungen zu erschweren. Zudem wird mit dem Schlagwort „Zeit“ gearbeitet und zufällige, temporäre Werte werden vermehrt vergeben (TKIP) um ein entblössen von Informationen zu unterbinden.
WPA Verschlüsselungsablauf
Aus der zu übertragenden Nachricht, wird mittels MIC eine 64 bit lange Prüfsumme mit Einbezug der Quell- und Ziel-Macadresse generiert und an die Nachricht angehängt. Die Nachricht wird nun fragmentiert und vom Nachrichten-Fragment wird mittels CRC eine 32 bit lange Prüfsumme generiert, welche nun lediglich für die Prüfung gegenüber Fehlübertragungen konsultiert wird. Der errechnete ICV wird der fragmentierten Nachricht angestellt.
Die 48 bit Quell-Macadresse, der 32 bit High-Teil des IVs und der 128 bit Temporal Key aus dem Authentifizierungsverfahren werden für ein logisches Keymixing (Phase 1) genutzt. Das Ergebnis von Keymixing der Phase 1 fliesst zusammen mit dem 128 bit Temporal Key, dem 16 bit Low-Teil des IVs in die Keymixing Phase 2 ein und erzeugt den Per-Packet Key.
Die Keymixing Phase 1 muss nicht für jedes Paket neu berechnet werden, da die Elemente (Quell-MAC, Temporal Key und High-IV) nicht verändert werden. Lediglich beim ändern des temporären Schlüssels wird die Phase 1 neu berechnet. Keymixing Phase 2 unterliegt jedoch einer dauernder Neuberechnung. Aus dem Grund da der Low-IV von 16 bit die Sequenz ausmacht und immer um Eins erhört wird.
Der Per-Packet Key und der 48 bit lange IV fliessen zusammen in den PRNG von RC4 ein und ergeben den Keystream, welcher nun mit der fragmentierten Nachricht und dessen ICV die verschlüsselte fragmentierte Nachricht inklusive ICV durch eine XOR-Verknüpfung ergibt. Dem Chiffretext werden High-IV (32 bit) und Low-IV (16 bit) im Klartext vorangestellt. Die fragmentierte Nachricht kann nun versandt werden. Der Empfänger berechnet nach Entschlüsselung über das erhaltene Fragment mittels CRC den ICV. Der MIC kann erst verifiziert werden, nachdem alle Fragmente beim Empfänger eingetroffen sind und er die Integritäts-Prüfsumme global über die ganze Nachricht bilden kann.
Auch gegen WPA gibt es Angriffsmethoden. Einerseits kann im Bezug auf WEP der Pre Shared Key des WPA Personal Mode als Angriffsvektor betrachtet werden. Es ist bei WPA-PSK deshalb wichtig, unbedingt ein starkes Passwort von guter Qualität zu wählen. In der Praxis schneiden Angreifer einen Authentifizierungsvorgang mit, welcher von einem Angreifer selbst durch ein Authentication-Flooding gegen WPA-PSK initiiert werden kann. Beim Anmeldevorgang findet der Schlüsselaustausch über einen Hashwert statt, welcher nach einem Mitschnitt einer statischen Analyse und einer Brute-Force oder Directory- Attacke unterzogen werden kann.
Entdeckt der Access Point einen aktiven Angriff mit ungültigen respektive gefälschten Paketen, werden alle Verbindungen getrennt und der AP für eine Minute inaktiv. Durch diese Methode kann ein Angreifer das drahtlose Netzwerk mit automatisiertem Paketversand unbrauchbar machen und in einen Denial of Service (DoS) Zustand versetzen.
Im Enterprise Modus sollte unbedingt auf eine starke EAP-Variante Augenmerk gelegt werden da ansonsten auch in einem EAP-Authentifizierungsverfahren nützliche Informationen zu Analysen und Crackingversuchen abgefangen werden können. Als schlecht kann EAP-MD5 bezeichnet werden.
Der Kompatibilitäts-Modus welcher manche Access Points verwenden sollte ausgeschaltet werden. Mit dem Mixed Mode erlaubt der AP den Betrieb von WEP und WPA gleichzeitig. Die Problematik besteht darin, dass Multicast und Broadcast Pakete in WEP versandt werden, damit WEP-Clients die Pakete selbstverständlich auch verstehen. Somit kann gesagt werden, dass im Mixed Mode Betrieb, die Sicherheit auf die eines drahtlosen Netzes mit WEP zurückfällt.
Einführung
WPA wurde bereits mit Augenmerk auf den kommenden 802.11i Standard geschaffen, womit das Sicherheits-Framework zwischen den beiden Standards sehr ähnlich ausfällt. Die einzig grossen Unterschiede, liegen in der Integritätsprüfung und dem Verschlüsselungsverfahren. Dies sind auch genau die Stellen, welche bei WPA kritisiert werden. Aus Gründen der Hardwarekompatibilität mussten bei WPA Kompromisse eingegangen werden, welche nun bei 802.11i eliminiert werden konnten. die Wi-Fi Alliance bezeichnet den fertigen IEEE Standard als letzten endliches Upgrade von WPA. Deshalb ist 802.11i umgangssprachlich dominierend unter dem Begriff WPA2 (Wi-Fi Protected Access 2) bekannt.
Durch den neuen Standard, wurde auch neue Hardware (Access Points und WLAN Chipsets) benötigt, welche die aufwendigen Sicherheitsverfahren in der Praxis umsetzen vermochten. Manche Hersteller veröffentlichten neue Wireless LAN Produkte für WPA welche bereits an WPA2 angelehnt waren, und die Performance für den ausstehenden Standard bereits mitbrachten. Bei denen konnte WPA2 mit einem simplen Firmware Update eingespielt werden. Bei Älteren Produkten auf Basis von WPA oder noch historischere Endgeräte mit nur einer WEP-Implementation mussten komplett durch neue APs und Chipsets ersetzt werden, welche WPA2 von Hause aus mitbringen.
Das Konzept hinter dem neusten Sicherheitsstandard lautet Robust Security Network (RSN). Jeder der über ein RSN kommunizieren möchte, muss den Anforderungen von 802.11i gerecht werden. Manche Access Points besitzen die Funktion um WPA und WPA2 parallel bereiben zu können, was wiederum bedeutet dass die Sicherheit auf das Niveau von WPA fällt. Implementieren Hersteller WPA und WPA2 im parallelen Betrieb spricht man von einem Transitional Security Network (TSN). In dieser Konstellation wird TKIP als zentrales Protokoll eingesetzt.
Überblick
Auch in 802.11i besteht WPA2 Personal und WPA2 Enterprise. Die beiden Betriebsvarianten unterscheiden sich wie auch in WPA durch die Authentifizierungsverfahren.
In WPA2 wird AES fest vorgeschrieben, TKIP aber als optionale Variante offen gelassen. Im Gegensatz zu WPA kann nun auch im Ad-hoc Modus WPA2 betrieben werden. Somit kann ganz auf WEP verzichtet werden. Es sein denn, dass WEP oder WPA Teilnehmer an Ad-hoc Netzwerken beteiligt sind.
Authentizität
Die Authentifizierung ist mittels PSK, 802.1X, RADIUS und EAP die gleiche wie bei WPA. Im Falle von Roaming ist durch die Station ein schnellere De- und Reauthentifizierung möglich, was bei VoWLAN (Voice over Wireless LAN) wichtig ist und im Fachjargon Secure Fast Handoff genannt wird.
Vertraulichkeit
Die Verschlüsselung wird in WPA2 durch den Advanced Encryption Standard (AES) vorgenommen. AES basiert, wie RC4 in WEP und WPA implementiert auf dem symmetrischen Verschlüsselungs-Verfahren, was einen Geschwindigkeitsvorteil gegenüber asymmetrischer Krypto-Methodik verschafft.
WPA2 legt durch AES einen geheimen Schlüssel (CCMP-Key) von vollen 128 bit und einen Initialisierungsvektor von 48 bit fest.
Advanced Encryption Standard
Der Blockchiffrier-Algorithmus AES verschlüsselt in fester Datenblocklänge von 128 bit und einer variablen Schlüssellänge von 128 bit, 192 bit oder 256 bit. Anhand der Schlüssellänge fällt die Namensgebung auf AES-128, AES-192 oder AES-256 aus.
AES-CCMP
AES wird in 802.11i in einer eigenen dafür optimierten Variante namens AES-CCMP eingesetzt. CCMP definiert wie AES auf 802.11 angewendet werden muss. Das CCM Protocol (CCMP) besteht aus CTR und CBC-MAC welche die Kernstücke der Sicherheit von 802.11i darstellen. CTR steht für Counter Mode und CBC-MAC für Cipher Block Chaining - Message Authentication Code. Komplett steht die Abkürzung CCMP für Counter Mode with Cipher Block Chaining Message Authentication Code Protocol. CCMP stellt das Keymanagement + Verschlüsselung und Nachrichten-Integrität mit dem AES-128 Algorithmus sicher.
AES-CTR
Der Counter Mode von AES-CCMP stellt die Vertraulichkeit der zu übermittelnden Informationen sicher. Der Counter Mode verschlüsselt eine 128 bit Zufallszahl (bestehend aus Quell-MAC, Paketsequenznummer und Counter) mit Einbezug vom 128 bit CCMP-Schlüssel (Kbss) mit AES. Der Counter inkrementiert den Zufallswert stets um Eins. Das Ergebnis aus der AES Verschlüsselung wird mit 128 bit Klartext XOR verknüpft und ergibt das 128 bit Chiffrat. Alle Fragmente einer Nachricht werden auf diese weise in einer fixen Blockgrösse von 128 bit verschlüsselt.
Integrität
Die Integrität wird ebenfalls durch AES-CCMP sichergestellt. Genau genommen durch den zweiten Teil von CCMP namens CBC-MAC. CBC-MAC setzt sich wieder aus zwei Teilen, dem CBC (Cipher Block Chaining) Algorithmus und dem MAC (Message Authentication Code) zusammen.
AES CBC-MAC
Die Integritäts-Prüfsumme welche als MIC an den Klartext angefügt wird und dann zur Verschlüsselung an AES-CTR übergeben wird muss zuerst mittels dem CBC-MAC Verfahren bestimmt werden. Dazu wird ein 128 bit Startblock der Daten mit dem 128 bit CCMP-Schlüssel AES verschlüsselt. Das Ergebnis wird mit den nächsten 128 bit Klartextdaten XOR verknüpft. Diese beiden Schritte werden jeweils für 128 bit Daten fortgeführt bis am Ende „Ergebnis XOR 128 bit Klartextdaten“ den 128 bit MIC ergibt. Von dem werden die höheren 64 bit für den endgültigen MIC benutzt, welche an die Klartextnachricht angehängt werden.
WPA2 Verschlüsselungsablauf
Die zu übertragenen Informationen werden zur Integritätssicherung an CBC-MAC übergeben und mittels des CCMP-Schlüssel AES verschlüsselt und XOR verknüpft was den MIC ergibt. MIC wird nun an die zu übertragenen Informationen als Integritätsprüfsumme angehängt. Klartext + MIC werden nun an AES-CTR übergeben, was mittels CCMP-Key, Counter, AES, Daten und XOR zum Chiffrat führt. dem Chiffrat werden Headerinformationen (MAC-Header und CCMP-Header) vorangestellt und das Frame wird weiter vermittelt.
WPA2 gilt as sicher und kann in Bezug auf bekannte Angriffsvektoren ähnliche Schwachstellen wie WPA nennen. Anlass zur Diskussion können im Personal-Mode der Pre Shared Key, im Enterprise-Mode unsichere EAP-Verfahren und der Mixed Mode Betrieb geben. WPA2 darf als ausgesprochen sicher bezeichnet und empfohlen werden.
Erschienen: 06/2007
Autor:
 | | hakin9 - Hard Core IT Security Magazin |
| |
| |
| |
© 1999-2010 | |
| |
