Sicherheit in Drahtlose Netzwerke Dr. Dorgham Sisalem

Agenda Was ist ein Netzwerk? Sicherheitsrisiken und Lösungen Abhören und Verschlüsselung Manipulation und Prüfsummen Zugangskontrolle WLAN: IEEE 802.11 Einführung Sicherheitsmechanismen und deren Lücken WEP, WAP, WAP2 GSM und UMTS 2 |

Internet Netzwerke Internet Protocol (IP) Adresse Identifiziert eindeutig ein Endgerät im Internet Wird zum Datenaustausch im Netzwerk benutzt Internet ist in Domains unterteilt Jede Domain wird von einem Anbieter verwaltet Ein Router teilt seine Nachbarn mit für welche Domain er zuständig ist Eine Route zwischen zwei IP Adressen wird verteilt und ohne eine zentrale Instanz aufgebaut Google.com (173.194.69.99) Internet Router Anbieter Router DSL Router 217.9.36.239 facebook.com (69.171.229.74) 3 |

Drahtlose Netzwerke Media Access Control (MAC) Adresse Identifiziert eindeutig eine Hardware Schnittstelle in einem Gerät Sollte global eindeutig sein Wird zum Datenaustausch in einem lokalen Netzwerk benutzt Network ID: Starbucks hotspot Address: 58:b0:35:fc:3f:b9 Google.com (173.194.69.99) Network ID: Starbucks hotspot Address: 58:b0:35:fc:3f:b9 To:173.194.69.99 To:173.194.69.99 To: 58:b0:35:fc:3f:b9 217.9.36.239 Wireless DSL Router MAC: 58:b0:35:fc:3f:b9 Network ID: Starbucks hotspot Address: 88:b0:46:2c:3B:a8 Network ID: Starbucks hotspot Address: 58:b0:35:fc:3f:b9 facebook.com (69.171.229.74) Wireless DSL Router MAC: 88:b0:46:2c:3B:a8 4 |

Sicherheitsrisiken und Lösungen 5 |

Risiko: Abhören Nicht autorisierte Informationsgewinnung Fest Netz Konto Nummer von A ist 1234 Benutzer A To Bank Überweise 10$ an 1234 DSL Router Benutzer A Anbieter Router Fest Netz Angreifer benötigt zugang zu einem Router oder Kabel Drahrloses Netzwerk In einem ungeschützten Netzwerk kann theoretisch jeder in der Reichweite der Basis Station alle Daten abhören 6 |

Lösung: Verschlüsselung Klartext mit der Hilfe eines Schlüssels und eines Verschlüsselungsverfahren in eine nicht einfach interpretierbare Zeichenfolge (Geheimtext) umwandeln. Symmetrische Verschlüsselung: Schlüssel wird für Verschlüsselung und Entschlüsselung verwendet Verschlüsselung Schlüssel Entschlüsselung Schlüssel Klartext Geheimtext Klartext X Y ⊕ 1 Einfaches Beispiel for symetrische Verschlüsselung: XOR 1100 Ist dies brauchbar? 1100 1100 0 XOR --------- 0110 1100 0110 XOR --------- 1010 1100 0110 0101 1010 0110 1010 7 |

Lösung: Verschlüsselung Asymmetrische Verschlüsselung: Unterschiedliche Schlüssel werden für Verschlüsselung (+K: Public Key) und Entschlüsselung (-K: Private Key) verwendet Bei Kenntnisse des Public Key und Verschlüsselte Daten ist es unmöglich die Daten zu entschlüsseln Wird bei SSL und Secure-HTTP benutzt Da es aufwendig ist wird es hauptsächlich dazu benutzt um einen Symmetric Key auszuhandeln Encrypt Plain- text Cipher- text +K Decrypt Cipher- text Plain- text 8 |

Risiko: Dateninmanipulation Zu schützende Daten sollten nicht unbemerkt verändert werden (z.B. Verhindern der Manipulation von Nachrichten) To Bank Überweise 10$ an 1234 To Bank Überweise 100$ an Attacker To Bank Überweise 10$ an amazon Fest Netz Angreifer benötigt zugang zu einem Router oder Kabel Anbieter Router DSL Router Benutzer A 9 |

Datenintegrität Drahtloses Netzwerk In einem ungeschützten Netzwerk ist eine Man-in-the-Middle (MITM) Attacke einfach: Angreifer verschickt Beacons mit dem selben SSID mit höher Frequenz und Signalstärke Benutzer benutzt Angreifer als Base Station Angreifer manipuliert die Daten und leitet sie weiter an das die echte Station StationA:B:C:D scheint näher zu sein Anbieter Router Network ID: Starbucks hotspot Address: :X:Y:X:Z From Bank To Bank Überweise 100$ an Angrifer Benutzer A Überweise 10$ an amazon To BANK From Bank Wireless DSL Router MAC X:Y:X:Z To Bank Überweise 100$ an Angreifer Network ID: Starbucks hotspot Address: A:B:C:D From Bank Angreifer Wireless DSL Router MAC: A:B:C:D 10 |

(Klartext und Signatur) Lösung: Prüfsumme Eine Zusammenfassung einer Nachricht Sender und Empfänger benutzen die selben Algorithmen um die Prüfsumme zu erstellen Bei Bit Fehler und Manipulation würde nicht die selbe Prüfsumme rauskommen Prüfsumme wird gemeinsam mit dem eigentlichen Daten verschlüsselt und verschickt Schützt nicht gegen die Manipulation von Daten aber hilft beim Entdecken von Manipulation oder Übertragungsfehler Schlüssel Schlüssel Klartext Signatur Klartext + signatur Verschlüsselung (Klartext und Signatur) Geheimtext Entschlüsselung Klartext + signature Überprüfe Signatur Klartext Einfaches Beispiel für Prüfsumme: Quersumme aller Daten Ist dies brauchbar? 1100 1100 0101 0 OR --------- 1111 1100 1100 1100 1111 0101 1010 --------------------- 0011 1001 0110 1100 1100 1100 0011 1001 0110 --------------------- 1111 0101 1010 0101 0 OR --------- 1111 0101 1010 1111 0101 1010 0011 10010110 1111 0101 1010 0101 1010 11 |

Risiko: Authentizität (authenticity) Echtheit und Glaubwürdigkeit eines Objekts bzw. Subjekts gewährleisten (z.B. einer Nachricht, eines Absenders, Access-Points, Servers, etc.) Netzwerk Authentifizierung wird benötigt um Man-in-the-Middle Angriffe zu verhindern Benutzer Authentifizierung wird benötigt um Missbrauch zu verhindern Sind die Daten von A? Höchst wahrscheinlich Sind die Daten von meinem DSL router? Höchst wahrscheinlich Anbieter Router From google DSL Router Benutzer A To google To google From google Sind die Daten von A? Jedes Gerät in Reichweite kann Daten schicken Sind die Daten von meinem DSL router? Angreifer kann auch Beacon mit “Starbucks Hotspot” verschicken Anbieter Router From google Benutzer A To google To google From google Wireless DSL Router 12 |

Lösung: Passwort basierte Authentifizierung Benutzer startet eine Sitzung und fügt sein Passwort hinzu Server kennt das Passwort und falls das verschickte Passwort stimmt erhält der Benutzer Zugang. Ermöglicht Authentifizierung nur in einer Richtung Passwort ist nicht geschützt gegen Abhören Ist dies tatsächlich sicher? Benutzer A hat passwort 1010 Benutzer A Passwort 1010 Wireless DSL Router Benutzer: A Passwort 1010 Zugang gewährt 13 |

Lösung: Challenge basierte Authentifizierung Es wird nur der Beweis verschickt dass man den Passwort kennt Benutzer startet eine Sitzung Server fordert den Benutzer nachzuweisen, dass er den Passwort kennt Was ist das Ergebnis von Verschlüsselung von einem zufälligen text? Benutzer verschlüsselt den Text und verschickt es zurück Nur Benutzer mit Kenntnissen des richtigen Schlüssels können auch das richtige Ergebnis liefern Ist dies tatsächlich sicher? Benutzer A hat passwort 1010 1100 verschlüsselt= 0110 Benutzer A Passwort 1010 Wireless DSL Router Benutzer: A Verschlüssele 1100 1100 Verschlüsselt= 0110 14 |

Was Noch? Privacy Verfügbarkeit Ein Angreifer kann die MAC Adresse eines Benutzers beobachten Bewegungsprofil eines Benutzer ist nicht geschützt Verfügbarkeit Denial of Service (DoS) Angreifer sendet oder Empfängt Daten mit einer hohen Bandbreite Die Verfügbare Bandbreite für die andere Benutzer wird reduziert Signal Störung (Jamming) Angreifer sendet auf der selben Frequenz wie das Netzwerk eventuell mit stärkerer Leistung Signalstärke wird reduziert. 15 |

Wireless LAN: IEEE 802.11 16 |

Wireless LAN Wireless Local Area Networks (WLAN) wurde 1997 vom Institute of Electrical and Electronics Engineers (IEEE) unter der Nummer 802.11 veröffentlicht Zugriff auf den Funkkanal erfolgt ähnlich wie Ethernet Erste Version für 1 Mb/s und 2 Mb/s 802.11b Erst populäre WLAN Technologie Bis maximal 11 Mb/s Frequenzbereich 2.4 GHz Ähnlicher Bereich wie Bluetooth oder Babyphones, Überwachungsanlagen! 17 |

Wireless LAN 802.11a 802.11g 802.11n Bis maximal 54 Mb/s Frequenzbereich um 5GHz Ähnlicher Frequenzbereich wie Radar Inkompatible zu 802.11b Schwächere Leistung und Verbreitung 802.11g Frequenzbereich 2.4 GHz Kompatible mit 802.11b 802.11n Bis maximal 600 Mb/s Frequenzbereich 2.4 GHz oder 5 GHz Erste Produkte auf dem Markt 18 |

Zugangskontrolle in 802.11: Erster Versuch Wer darf Daten über das drahtlose Netzwerk verschicken: Open System Authentication Jeder darf Daten schicken. Daten können nur weiter verschickt wenn der Sender das richtige Passwort kennt Shared Key Authentication Wer Daten schicken möchte muss erstmal Kenntnis vom Passwort nachweisen 1.) A  B: (Authentication, 1, IdentityA) 2.) B  A: (Authentication, 2, Random TextB) 3.) A  B: {Authentication, 3, Random TextB}KA,B // verschlüsselt mit KA,B 4.) B  A: (Authentication, 4, Successful) Ein Angreifer der Nachrichten 2 und 3 Abhört hat dann Zugriff aufs gemeinsame Schlüssel! 19 |

WEP: Wireless Equivalent Privacy Bietet Verschlüsselung und Integritätsschutz Jede Nachricht wird mit einem neuen Schlüssel verschlüsselt RC4 stream cipher Initialization Vector (IV) + Key werden benutzt um anhand eines Pseudo Random Number Generators (PRNG) neue Key Stream zu erzeugen Jede Nachricht wir durch eine Prüfsumme geschützt Cyclic Redundancy Check –CRC) IV Ciphertext Message IV || WEP PRNG seed keystream KBSS  ICV M || CRC algorithm 20 |

WEP is NOT Secure! Ab 2001 wurden mehrere Sicherheitslücken bei WEP entdeckt Schlechte Implementierung CRC nicht geeignet zum Schutz gegen Manipulation Design Probleme 21 |

WEP: Passwort Entschlüsseln WEP kann mir 40 oder 104 Bit Schlüssel benutzt werden Brute Force Suche nach einem 40 Bit Schlüssel kann etliche Tage dauern Ein 40 Bit Schlüssel wird durch 10 Hexadezimale Ziffern angegeben. Um jedoch die Eingaben der Passwörter zu vereinfachen erlauben einige Hersteller die Eingabe von ein paar ASCII Zeichen Diese Zeichen werden dann als Eingabe für einen Schlüssel-Generator benutzt Dadurch verringern die möglichen Schlüssel von 40 Bits auf ungefähr 20 Bits Ein 20 Bit Schlüssel ist innerhalb von Sekunden zu entschlüsseln 22 |

Daten Manipulation mit WEP Die Prüfsumme (CRC) von WEP bietet keinen ausreichenden Schutz gegen Manipulation A verschickt eine Nachricht (M) an B die von E abgefangen wird (z.B. MITM Attacke) A  B: (IV, C) mit C = RC4(IV, K)  (M, CRC(M)) Der Angreifer kann nun eine neue verschlüsselte Nachricht (C’) die nach dem Entschlüsseln die Nachricht (M’) ergibt mit einer Korrekten Prüfsumme CRC(M’): E wählt eine zufällige Bit Reihe  C’ = C  (, CRC()) = RC4(IV, K)  (M, CRC(M))  (, CRC()) = RC4(IV, K)  (M  , CRC(M)  CRC()) = RC4(IV, K)  (M  , CRC(M  )) = RC4(IV, K)  (M’, CRC(M’)) Beachte: Der Angreifer weiß weder M, noch M’ noch K 23 |

WEP Design Schwächen WEP und RC4 sind eigentlich sicher Wenn pro Nachricht einen neuen Schlüssel benutzt wird Bei WEP wird jedoch der selbe Keystream mehrmals benutzt Für jede Nachricht wird ein Keystream generiert anhand von IV und K Wenn zwei Nachrichten (P1 and P2) mit dem selben IV verschlüsselt werden: C1 = P1  RC4(IV, KBSS) C2 = P2  RC4(IV, KBSS) dann: C1  C2 = (P1  RC4(IV, KBSS))  (P2  RC4(IV, K)) = P1  P2 Falls P1 and C1 bekannt sind dann kann der Angreifer auch P2 und RC4(IV, KBSS) entschlüsseln Inhalt einer Nachricht kann öfters erraten werden 24 |

WEP Design Schwächen Der Angreifer kann nun all Nachrichten mit dem selben IV entschlüsseln Der Angreifer kann Nachrichten schicken und mit RC4(IV, K) verschlüsseln IV kann sich wiederholen entweder wegen Schlechter Implementierung Das IV ist 24 Bits lang. Je nach Auslastung des Netzes wird die Base Station den selben IV über kurz oder lang wieder benutzen müssen 25 |

Security Framework IEEE 802.11i IEEE 802.11i definiert eine Sicherheitsarchitektur Zugangkontrolle durch IEEE 802.1X Stärkere Verschlüsselungsmechanismen Bessere Prüfsummen 26 |

Zugangskontrolle mit 802.1X Sichere Authentifizierung des Benutzers und des Netzwerks Jeder Benutzer hat einen eigenen Schlüssel was von einem Server verwaltet wird Ist primär für größere Netzwerke gedacht Wireless DSL Router Benutzer A Passwort K DB Authentifikation der Basis Station Aufbau einer Sicheren Verbindung Ähnlich dem Aufbau einer sicheren Verbindung zur einer Bank Was ist Passwort von A Authentication:: Benutzer A Benutzer A hat das Passwort K Authentication: Challenge Authentication: Credentials K(Challenge) Authentication: OK 27 |

WPA: Wi-Fi Protected Access Eine Implementierung der IEEE 802.11i Spezifikation mit Einer verbesserten Version von WEP Temporal Key Integrity Protocol (TKIP) Einer verbesserten Prüfsumme Message Integrity Check (MIC) mit dem Namen Michael Authentifizierung: Enterprise: 802.1X Personal: Für private Benutzer und kleinere Installationen anhand eines gemeinsamen Passworts 28 |

WPA: Temporal Key Integrity Protocol (TKIP) Basiert weiterhin auf ähnliche Konzepte wie WEP (RC4) Abwärtskompatible zu WEP Hardware Vermeidet Attacken die durch das Wiederverwenden von IV und Keystream entstehen: Keystream entsteht durch IV, Schlüssel und eine Packet abhängige Sequenz Nummer IV ist 48 Bits statt 24 Bits groß IV Ciphertext Message IV Phase 1 Mixing Phase 2 Mixing Temporal key keystream KBSS  Sequence number ICV M || MIC algorithm 29 |

WPA2: Wi-Fi Protected Access Erste Angriffe gegen TKIP wurden schon in 2008 bekannt Angreifer kann einige Daten Pakete verschicken ohne Kenntnisse des gemeinsamen Passworts Angriffe brauchen mehr Zeit und sind weniger effektiv als Angreifer auf WEP WPA2 basiert nicht mehr auf RC4 und ist somit nicht mehr Hardware kompatible zu WEP Die Schlüssellänge beträgt 128 Bits Verschlüsselungsverfahren AES (Advanced Encryption standard) im speziellen Modus CCMP (Cipher Block chaining Message Authentication Code Protocol) Authentifizierung Ähnlich WPA 30 |

Global System for Mobile Communications: GSM Mobile Telephone Netze basierend auf GSM starteten in 1990 Authentifizierung und Verschlüsselungsmaterial sind auf der SIM (Subscriber Identity Module) gespeichert Probleme mit schwachen Schlüssel sind somit vermieden Probleme Benutzer authentifiziert sich gegenüber des Netzwerks aber Netzwerk authentifiziert sich nicht gegenüber dem Benutzer Man-in-the-Middle Attacken möglich SIM cloning SIM inklusive der Benutzer Daten können kopiert werden Betrifft nur den einen Benutzer UMTS und LTE basieren auf ähnliche Konzepte jedoch Benutzer und Netzwerk authentifizieren sich gegenseitig 31 |

Zusammenfassung Drahtlose Netzwerke sind leichter anzugreifen als Leitungsgebundene Netze Hauptsächliche Gefahren: Man in the Middle Abhören Daten Manipulation Unberechtigter Zugang WLAN unterstützt folgende Sicherheitslösungen an WEP: Zahlreiche Sicherheitslücken wurden bei WEP entdeckt WPA: Im wesentlichen sicherer als WEP aber da es auf ähnliche Konzepte wie WEP basiert wurden auch schon einige Sicherheitslücken entdeckt WPA2: Gilt zur Zeit noch als sicher Mobile Netzwerke (GSM, GPRS, UMTS …) werden die Schlüssel und Authentifizierungsdaten auf der SIM gespeichert 32 |

Thank you !! Questions Dorgham Sisalem Director Strategic Architecture Mobile: +49 171 304 2053 E-mail: dorgham.sisalem@tekelec.com                            33 |