11
Luis Marrone - Andrs Barbieri - Matas Robles
LINTI UNLP
12 de octubre de 2011
Seguridad en 802.11
12 de octubre de 2011
1 / 35
Contenidos
1
802.11 Autenticacin WEP 802.11i Introduccin Autenticacin TKIP AES-CCMP Vulnerabilidades y ataques Vulnerabilidades 802.11w Ataques 802.11i
Seguridad en 802.11
12 de octubre de 2011
2 / 35
Contenidos
1
802.11 Autenticacin WEP 802.11i Introduccin Autenticacin TKIP AES-CCMP Vulnerabilidades y ataques Vulnerabilidades 802.11w Ataques 802.11i
Seguridad en 802.11
12 de octubre de 2011
2 / 35
Contenidos
1
802.11 Autenticacin WEP 802.11i Introduccin Autenticacin TKIP AES-CCMP Vulnerabilidades y ataques Vulnerabilidades 802.11w Ataques 802.11i
Seguridad en 802.11
12 de octubre de 2011
2 / 35
802.11
Estamos en:
1
802.11 Autenticacin WEP 802.11i Introduccin Autenticacin TKIP AES-CCMP Vulnerabilidades y ataques Vulnerabilidades 802.11w Ataques 802.11i
Seguridad en 802.11
12 de octubre de 2011
3 / 35
802.11
Autenticacin
Autenticacin
802.11 dene dos tipos de autenticacin:
Sistema Abierto (Open System) Clave Compartida (Shared Key)
Seguridad en 802.11
12 de octubre de 2011
4 / 35
802.11
Autenticacin
Seguridad en 802.11
12 de octubre de 2011
5 / 35
802.11
Autenticacin
Seguridad en 802.11
12 de octubre de 2011
6 / 35
802.11
WEP
Seguridad en 802.11
12 de octubre de 2011
7 / 35
802.11
WEP
Fuente grco: IEEE Std 802.11-2007], Copyright [2007] IEEE. All rights reserved. Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 8 / 35
802.11
WEP
WEP Keys
Las claves WEP tienen las siguientes caractersticas:
Tamao Fijo Estticas Compartidas Simtricas
WEP permite denir hasta 4 claves simultneamente Claves direccionales: una clave para transmitir y otra para recibir No es necesario ingresar las 4 claves Una sola clave se usa para encriptar (clave activa) Cualquiera de las claves para desencriptar
Seguridad en 802.11
12 de octubre de 2011
9 / 35
802.11
WEP
Tamao del Vector de Inicializacin (IV) muy chico La forma que las claves son construidas a partir del IV puede generar claves dbiles (FMS attack) No existe un mecanismo de gestin e intercambio de claves (key management) Deciente proteccin de la integridad de los datos (CRC32) Falta de un mecanismo de proteccin contra replay-attacks
Seguridad en 802.11
12 de octubre de 2011
10 / 35
802.11i
Estamos en:
1
802.11 Autenticacin WEP 802.11i Introduccin Autenticacin TKIP AES-CCMP Vulnerabilidades y ataques Vulnerabilidades 802.11w Ataques 802.11i
Seguridad en 802.11
12 de octubre de 2011
11 / 35
802.11i
Introduccin
Evolucin
WEP era muy vulnerable. Se necesitaba una nueva solucin de seguridad IEEE forma el Task Group i para desarrollar un nuevo mecanismo de seguridad: IEEE 802.11i Aprobado en 2004
Seguridad en 802.11
12 de octubre de 2011
12 / 35
802.11i
Introduccin
Introduccin
Robust Security Network (RSN): red que slo permite la creacin de RSNAs Robust Security Network Association (RSNA): el procedimiento de autenticacin entre las estaciones incluye el proceso 4-Way Handshake 802.11i dene dos clases de algoritmos de seguridad:
Algoritmos pre-RSNA: denidos en el estndar IEEE 802.11-1999 Algoritmos RSNA: denidos en el estndar IEEE 802.11i-2004, aunque se sigue utilizando la autenticacin Open System
802.11i
Introduccin
TSN/WPA y RSN/WPA2
TSN/WPA
Snapshot del draft 3 del estndar Diseado alrededor de WEP. Se intenta solucionar sus deciencias No requiere la instalacin de nuevo hardware Autenticacin: 802.1X y Pre-Shared Key Soporta un nico estndar de encriptacin: TKIP Integridad: algoritmo Michael
RSN/WPA2
Diseado desde cero. No compatible con soluciones pre-RSNA Requiere nuevo hardware para soportar nuevos mtodos de encriptacin Autenticacin: 802.1X y Pre-Shared Key Soporta opciones de encriptacin: TKIP (opcional) y AES-CCMP (obligatorio) AES-CCMP: algoritmo por default
Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 14 / 35
802.11i
Autenticacin
Tipos de Autenticacin
802.11i dene dos modos de autenticacin:
Clave Pre-Compartida (Pre-Shared Key): ingresada por el usuario 802.1x: estndar denido por la IEEE. Resmen del proceso mostrado a continuacin:
Seguridad en 802.11
12 de octubre de 2011
15 / 35
802.11i
Autenticacin
4-way handshake
Proceso ejecutado en una red RSN sin importar el modo de autenticacin seleccionado
Mediante el proceso Group Key Handshake el AP enva una nueva Group Temporal Key a los clientes
Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 16 / 35
802.11i
Autenticacin
Jerarqua de Claves
En CCMP no se deriva la clave MIC para datos Group Key Hierarchy: jerarqua de claves para los mensajes broadcast/multicast
Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 17 / 35
802.11i
TKIP
802.11i
TKIP
Encapsulacin TKIP
Seguridad en 802.11
12 de octubre de 2011
19 / 35
802.11i
TKIP
Fuente grco: IEEE Std 802.11-2007, Copyright [2007] IEEE. All rights reserved. Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 20 / 35
802.11i
AES-CCMP
Seguridad - 802.11i/WPA2
WPA2 es la implementacin del estndar 802.11i nal 802.11i/WPA2 utilizan CCMP para obtener condencialidad, autenticidad, integridad y proteccin contra replay attacks CCMP est basado en CCM de AES (Advanced Encryption Standard) Caractersticas de CCM:
Denido en la RFC 3610. Puede ser utilizado con cualquier cifrador de bloques Combina CTR (Counter Mode) para cifrado y CBC-MAC para auntenticacin e integridad Requiere una clave temporal nueva para cada sesin y un nonce nico para cada frame protegido Protege la integridad de los datos de un MPDU y de partes seleccionadas de la cabecera
Todo el procesamiento AES dentro de CCMP utiliza claves de 128 bits en bloques de 128 bits
Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 21 / 35
802.11i
AES-CCMP
Encapsulacin CCMP
Seguridad en 802.11
12 de octubre de 2011
22 / 35
802.11i
AES-CCMP
Fuente grco: IEEE Std 802.11-2007, Copyright [2007] IEEE. All rights reserved. Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 23 / 35
Vulnerabilidades y ataques
Estamos en:
1
802.11 Autenticacin WEP 802.11i Introduccin Autenticacin TKIP AES-CCMP Vulnerabilidades y ataques Vulnerabilidades 802.11w Ataques 802.11i
Seguridad en 802.11
12 de octubre de 2011
24 / 35
Vulnerabilidades y ataques
FMS Attack
FMS es por las iniciales de sus descubridores: Fluhrer, Mantin y Shamir Ao 2001. Debilidades de RC4 Se necesitaban capturar entre 4.000.000 y 6.000.000 de paquetes para obtener la clave WEP 2004: un hacker mejor el proceso. De 500.000 a 2.000.000 de paquetes Ataque pasivo Algunos valores del vector de inicializacin no trabajan bien con WEP, claves dbiles Permiten obtener bytes de la claves despus de un anlisis estadstico Se debe monitorear pasivamente la red para capturar una determinada cantidad de paquetes con un IVs dbiles Funciona con claves de 40 y 104 bits
Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 25 / 35
Vulnerabilidades y ataques
Vulnerabilidades
Vulnerabilidades en 802.11
Protocolos de seguridad no protegen determinados frames: beacon, probe request/replay, deauthentication, deassociation, etc Posibilidad de ataques de tipos Denial-of-Service (DoS) Ataques pueden ser en Layer 1 2 Physical Layer Attack - Jamming
Muy difcil de detener o bloquear Herramientas permiten triangular el dispositivo haciendo jamming y ubicar al dueo Pero cualquiera puede transmitir en la banda ISM Necesario comprobar que no cumple con las reglamentaciones correspondientes
Seguridad en 802.11
12 de octubre de 2011
26 / 35
Vulnerabilidades y ataques
Vulnerabilidades
Vulnerabilidades y ataques
Vulnerabilidades
Seguridad en 802.11
12 de octubre de 2011
28 / 35
Vulnerabilidades y ataques
Vulnerabilidades
Vulnerabilidades y ataques
802.11w
IEEE 802.11w
Aprobada en Septiembre de 2009 Management Frame Protection (MFP) provee proteccin a un conjunto de frames de management conocidos como Robust Management Frames:
Disassociation Frames Deauthentication Frames Action Frames
MFP solamente puede ser utilizada con CCMP Cifrado y autenticacin del origen se aplican nicamente a los Robust Management Frames de tipo nicast Se genera una nueva clave Integrity Group Transient Key (IGTK) para proteger la integridad de los frames de management con direcciones de grupo MFP se aplica despus que se complet el proceso de generacin de claves PTKs y la clave IGTK ha sido enviada Campo Protected Field se establece a 1 en los frames unicast Robust Management
Marrone-Barbieri-Robles (LINTI UNLP) Seguridad en 802.11 12 de octubre de 2011 30 / 35
Vulnerabilidades y ataques
802.11w
Normalmente, si un AP recibe un mensaje Association Request o Authentication Request de una estacin ya asociada, termina la conexin y empieza una nueva Atacante puede "derribarna conexin existente enviando un Association o Authentication Request spoofed Con SA de 802.11w:
AP recibe un mensaje Association o Authentication Request spoofed AP enva un mensaje encriptado con la PTK a la estacin real Si el AP recibe una respuesta correcta, el mensaje es considerado como spoofed y se lo rechaza En caso contrario, la conexin es terminada y se inicia una nueva
Seguridad en 802.11
12 de octubre de 2011
31 / 35
Vulnerabilidades y ataques
802.11w
Vulnerabilidades y ataques
Ataques 802.11i
En Noviembre de 2008, Martin Beck y Erik Tews propusieron un ataque sobre WPA Puede recuperar texto plano de un paquete corto encriptado y falsicarlo (como paquetes ARP o DNS) y la clave MIC Limitaciones del ataque: los blancos son nicamente implementaciones WPA con el estndar IEEE 802.11e soportado Tiempo de ejecucin del ataque: 10-15 minutos Toshihiro Ohigashi y Masakatu Morii lograron mejorar el ataque:
Aplicable sobre todos los nodos WPA/TKIP Reducen el tiempo a alrededor de 1 minuto
Seguridad en 802.11
12 de octubre de 2011
33 / 35
Vulnerabilidades y ataques
Ataques 802.11i
Vulnerabilidades y ataques
Ataques 802.11i
Seguridad en 802.11
12 de octubre de 2011
35 / 35