Bezpečnosť vo WiFi sieťach

Transcription

1 Žilinská univerzita v Žiline Elektrotechnická fakulta Katedra telekomunikácií Bezpečnosť vo WiFi sieťach Peter Rovný 2OO7

2 Bezpečnosť vo WiFi sieťach BAKALÁRSKA PRÁCA Peter Rovný ŽILINSKÁ UNIVERZITA V ŽILINE Elektrotechnická fakulta Katedra telekomunikácií Študijný odbor: TELEKOMUNIKAČNÝ MANAŽMENT Vedúci bakalárskej práce: Ing. Peter Kortiš Stupeň kvalifikácie: bakalár (Bc.) Dátum odovzdania bakalárskej práce: ŽILINA 2007

3 Abstrakt Práca sa zaoberá analýzou bezpečnosti bezdrôtových sietí na báze štandardu IEEE Prvá časť je venovaná predovšetkým analýze základných metód a protokolov šifrovania, ktoré sa vo WiFi sieťach používajú. Taktiež obsahuje popis niektorých z možných útokov, ktoré sa na tieto siete dajú spáchať. V druhej časti sú zhrnuté metódy autorizácie prístupu do Wifi siete. Posledná kapitola je venovaná praktickej časti, a teda popisu samotnej realizácii zabezpečenia Katedry telekomunikácií Žilinskej univerzite v Žiline. Sú v nej uvedené niektoré príklady konfigurácie.

4 Žilinská univerzita v Žiline, Elektrotechnická fakulta, Katedra telekomunikácií ANOTAČNÝ ZÁZNAM - ZÁVEREČNÁ BAKALÁRSKA PRÁCA Názov práce: Bezpečnosť vo WiFi sieťach Priezvisko a meno: Rovný Peter Školský rok: 2006 / 2007 Počet strán: 38 Počet obrázkov: 18 Počet tabuliek: 0 Počet grafov: 0 Počet príloh: 0 Použitá liter.: 9 Anotácia v slovenskom jazyku: Práca sa zaoberá problematikou zabezpečenia WiFi sietí. Analyzuje základné metódy a protokoly šifrovania, ako aj metódy autorizácie prístupu do WiFi siete. V poslednej časti sú uvedené príklady konfigurácií, ktoré boli použité pre zabezpečenie Katedry telekomunikácií Žilinskej univerzite v Žiline. Anotácia v cudzom jazyku (angl.): This paper deals with the question of securing wireles networks (Wifi). It analysis basic methods and protocols used for network securing as well as authorisation methods. In the last part, there are concrete example of configuration, whitch was used for securing the Department of telecommunication at the Zilina univerity. Kľúčové slová: Bezpečnosť, WiFi, šifrovanie, WEP, Vedúci práce: Ing. Peter Kortiš Recenzent práce: Dátum odovzdania práce:

5 Obsah Obsah Zoznam obrázkov... III Zoznam skratiek... IV Úvod Cieľ riešenia Štandard b, alias Wi-Fi g Metódy šifrovania vo WiFi sieťach Symetrické šifrovanie Asymetrické šifrovanie Protokol WEP Ako funguje WEP Útoky na WEP Autentifikácia protokolu WEP Prúdová šifra RC WPA TKIP Mixovanie paketového kľúča Michael funkcia kontroly integrity WPA-PSK i alias WPA Zhrnutie Autorizácia prístupu do WiFi siete x EAP a jeho autentizačné metódy MD LEAP TLS TTLS a PEAP...24

6 Obsah 4.2 RADIUS...25 Výber vhodnej metodiky šifrovania a autorizácie pre potreby Katedry telekomunikácií Žilinskej univerzity v Žiline Konfigurácia RADIUS servera Konfigurácia prístupového bodu Technicko-ekonomické zhodnotenie práce...37 Záver...38

7 Zoznam obrázkov Obr Šifrovanie protokolom WEP zjednodušené...7 Obr. 1.3 Útok na šifrovaciu sekvenciu...8 Obr. 1.4 Útočník zachytí legitímny šifrovaný paket ARP (s dĺžkou 28 bitov)...10 Obr. 1.5 Útočník zahltí sieť opakovanými ARP požiadavkami...10 Obr. 1.6 Autentifikácia so zdieľaným kľúčom...11 Obr. 2.1 Šifrovanie mechanizmom TKIP...14 Obr Šifrovací mechanizmus WEP a TKIP...15 Obr Schéma 802.1x...19 Obr Riadené a neriadené porty...20 Obr Komunikácia protokolom 802.1x...20 Obr. 3.4 LEAP...23 Obr. 3.5 EAP-TLS...24 Obr. 3.6 EAP-TTLS...24 Obr. 3.7 EAP PEAP...25 Obr. 3.8 Zjednodušený princíp fungovania RADIUS servera...26 Obr. 4.1 Základné nastavenia AP...34 Obr. 4.2 Nastavenie Wireless...35 Obr. 4.3 Nastavenie Wireless Security...35 III

8 Zoznam skratiek AAA server Authentication, Authorization and Accounting Autentizačný, autorizačný a účtovací server AES Advanced Encryption Standard Vylepšený štandard šifrovania AP Access Point Prístupový bod ARP Address Resolution Protocol Protokol rozlíšenia adresy CRC Cyclic Redundancy Check Ciklická kontrola správnosti DSL Digital subscriber line Digitálne účastnícke vedenie/linka/prípojka EAP Extensible Authentication Protocol Protokol pre autentizáciu FIPS HTTP IEEE Federal Information Processing Standards Hyper Text Transfer Protocol Institute of Electrical and Electronics Engineers Federálny štandard pre spracovanie informácií Protokol pre výmenu hypertextových dokumentov vo formáte HTML Inštitút elektrotechnických a elektronických inžinierov IP Internet Protocol Internetový protokol IV Initialization Vector Inicializačný vektor LAN Local Area Network Miestna počítačová sieť LEAP Lightweight Extensible Authentication Protocol Základný autentifikačný protokol MAC Media Access Control Riadenie prístupu k prenosovému médiu MD5 Message-Digest algorithm 5 Kryptografická hash funkcia IV

9 MIC Message Integrity Check Kontrola inegrity správy PEAP Protected Extensible Authentication Protocol Chránený autentifikačný protokol PPP Point-to-Point Protocol Protokol spojenia bod-bod PSK PreShared Key Predbežne zdieľaný kľúč RADIUS Remote Authentication Dial In User Service Služba pre autorizáciu vzdialeného používateľa RC4 Rivest Cipher 4 Prúdová šifra RFC Request for Comments Séria dokumentov popisujúcich internetovské štandardy SSL Secure Sockets Layer Vrstva bezpečných socketov TCP Transmission Control Protocol Protokol riadenia prístupu TKIP Temporal Key Integrity Protocol Protokol dočasného kľúča integrity TLS Transport Layer Security Zabezpečenie prenosovej vrstvy WECA Wireless Ethernet Compatibility Aliance Aliancia pre zabezpečenie kompatibility bezdrôtových sietí WEP Wired Equivalent Privacy Šifrovací protokol pre zabezpečenie WLAN Wifi Wireless Fidelity Sada štandardov pre bezdrôtové lokálne siete WLAN WirelessLAN Bezdrôtová miestna počítačová sieť WPA Wi-Fi Protected Access Zabezpečený prístup WiFi V

10 Úvod Bezdrôtové technológie sú v súčasnosti veľmi atraktívne. Nie vždy tomu tak však bolo. Prvé bezdrôtové siete neboli schopné svojimi parametrami konkurovať vtedajším, už zaužívaným technológiám. Určite nie cenou, pretože boli niekoľkonásobne drahšie. Určite nie rýchlosťou, pretože tá bola niekoľkonásobne menšia. Zatiaľ čo obyčajný drôtový Ethernet v tej dobe ponúkal prenosové rýchlosti 10Mbps, prvé bezdrôtové LAN boli schopné prenášať dáta rýchlosťou 1 max. 2Mbps. Jediné čím dokázali konkurovať bol teda samotný ich princíp bezdrôtový charakter. Postupom času sa však technológia zdokonaľovala. Ceny neustále klesali, prenosové rýchlosti sa zvyšovali a celkovo tak vzrastala dostupnosť týchto sietí. V súčasnosti sú WirelessLAN už všade prítomné. Používateľom ponúkajú nové príležitosti a množstvo výhod. Umožňujú jednoduchú mobilitu medzi používateľmi bez akýchkoľvek káblov, s možnosťou dostatočne presne vykryť práve tie priestory, ktoré si zvolíme. Rýchlosť bezdrôtových dátových prenosov sa zdá byť postačujúca. (napr. cenovo dostupná technológia WiFi skratka pre Wireless Fidelity, ponúka rýchlosť 54Mbps.) Jednoduchosť a rýchlosť vybudovania takýchto sietí bez použitia káblov nám šetria náklady aj čas. Konkurencia medzi výrobcami významne znížila ceny. Bezdrôtové siete sú výhodné v priestoroch, kde sa nemôžu použiť káble napr. vo vonkajších priestoroch alebo v historických budovách. Smutnou správou však je, že popri všetkých tých výhodách sa pozabudlo na bezpečnosť. A práve bezpečnosť je hlavným faktorom pre spoľahlivé fungovanie akejkoľvek siete, pričom u bezdrôtovej sieti to platí dvojnásobne. Táto záverečná práca sa venuje práve bezpečnosti bezdrôtových sietí a to sietí WiFi. Čitateľovi umožňuje nahliadnuť do spomínanej problematiky a zorientovať sa v množstve nástrojov zabezpečenia, ktoré sú dnes dostupné. 1

11 1 Cieľ riešenia Úlohou tejto bakalárskej práce je oboznámiť sa problematikou zabezpečenia WiFi sietí. Práca má podrobne zanalyzovať a objasniť predovšetkým hlavné metódy a protokoly zabezpečujúce šifrovanie, ako aj autorizáciu prístupu do WiFi siete. Ide o metódy zabezpečenia, ktoré sú z posudzované z hľadiska odolnosti voči odposluchu, neoprávnenému prístupu do siete ako aj rôznym typom útokov na sieť. Cieľom záverečnej práce je na základe uvedených analýz vybrať a v praxi použiť čo najvhodnejšiu metódu zabezpečenia siete v rámci Katedry telekomunikácií Žilinskej Univerzity v Žiline. 2

12 2 Štandard Skupina (plným menom: Wireless Local Area Networks Standards Working Group in 1990) vznikla v roku 1990 ako pracovná skupina zaoberajúca sa špecificky problematikou bezdrôtových sietí.[1] Jej úlohou bolo vypracovať štandard pre bezdrôtové riešenia, ktorý by bol alternatívou drôtového Ethernetu a pracoval by v nelicencovanom pásme 2,4GHz. Prvý štandard IEEE uvidel svetlo sveta až v roku 1997, no siete fungujúce na báze tohto štandardu boli z hľadiska prenosovej rýchlosti pomalé. Odhliadnuc od rýchlosti nám pôvodný štandard IEEE však ponúkal najširšiu možnosť výberu fyzickej prenosovej technológie (na najnižšej fyzickej vrstve). Umožňoval použiť: Techniku priameho rozprestretého spektra (Direct Sequence Spread Spectrum, DSSS), kde je každý užitočný bit nahradený celou bitovou sekvenciou (tzv. chip-em alebo chipping code) a až tá je potom skutočne vysielaná. Dĺžka bitovej sekvencie u je 11 bitov. Štandard IEEE u tejto techniky predpokladá použitie prenosového pásma od 2,4 do 2,4835 GHz. Používa 11 kanálov so šírkou 22MHz. Tieto kanály sa navzájom prekrývajú, čo spôsobuje ich rušenie. Len tri z nich sa neprekrývajú vôbec a práve tie sú použiteľné. Techniku rozprestretého spektra s frekvenčným skákaním (Frequency Hopping Spread Spectrum, FHSS). Tu sa prenosové pásmo 2,4 až 2,4835 GHz delí do 75 podkanálov, každý o šírke 1MHz. K preskakovaniu potom dochádza medzi týmito podkanálmi, podľa rôznych kľúčov (sekvencií) pre jednotlivé prenosy, aby sa tak minimalizovalo nebezpečenstvo stretu na rovnakom podkanáli. FHSS ponúka povinne rýchlosť 1 Mbps, voliteľne 2 Mbps. Prenos infračerveným žiarením (Diffused Infrared, DFIR), v pásme ,000 GHz, povinne rýchlosťou 1 Mbps, voliteľne 2Mbps. Infračervené lúče však neprechádzajú pevným materiálom preto je táto technológia obmedzená na jednu kanceláriu, či iný súvislý priestor. Práve kvôli tomuto obmedzeniu je zavádzanie sietí na báze DFIR skôr výnimkou ako pravidlom. Cena hrá taktiež svoju rolu. Táto technológia je v porovnaní s predošlými drahšia. V dnešnej dobe sa však prenos infračerveným žiarením takmer nepoužíva. 3

13 Voľné frekvenčné pásmo 2,4 GHz využívajú zariadenia ako bezdrôtové telefóny, mikrovlnné rúry a Bluetooth, takže môže dochádzať k ich vzájomnému rušeniu b, alias Wi-Fi Štandard b bol schválený v roku Pracuje v rovnakom nelicencovanom pásme 2,4 GHz, avšak ponúka vyššiu prenosovú rýchlosť do 11Mbps. Zrýchlenie sa dosiahlo použitím modulácie CCK (Complementary Code Keying). Na úrovni fyzickej vrstvy už nie sú na výber tri varianty ako u pôvodného , ale iba variant s priamym rozprestretým spektrom, čiže DSSS. Prenosovú rýchlosť 11 Mbps však musíme chápať ako rýchlostné maximum, pretože v prípade zhoršených podmienok pre prenos rýchlosť klesá na 5,5Mbps a dokonca aj nižšie. Bezdrôtové zariadenia pracujúce na báze štandardu b sú dnes bežne dostupné na trhu Množstvo rôznych výrobcov ceny prudko znižuje a vzájomná kompatibilita zariadení ešte prispieva k ich rozširovaniu. O testovanie tejto kompatibility sa stará združenie WECA (Wireless Ethernet Compatibility Aliance), ktoré úspešne otestovaným produktom vydáva osvedčenie, všeobecne uznávané a rešpektované na trhu g V roku 2003 schválilo IEEE špecifikáciu g. Ide o najpoužívanejší štandard v dnešnej dobe. V zásade je g prepracovaný štandard b pracujúci v rovnakom pásme 2,4 GHz, avšak s rýchlosťou 54Mbps. Ak chceme dosiahnuť prenosovú rýchlosť 54Mbps, musíme mať samozrejme na oboch stranách zariadenie štandardu g. To však neznamená, že už existujúci klienti b nebudú môcť pracovať aj s novým AP g, práve naopak. Štandard g je plne kompatibilný s b. Toto prináša možnosť vzájomnej spolupráce zariadení oboch štandardov. Komunikácia na úrovni fyzickej vrstvy u g prebieha s využitím OFDM (Orthogonal Frequency Division Multiplexing), ale pri komunikácii so zariadeniami b sa využíva technológia DSSS. Zlou správou však stále ostáva to, že g nerieši niektoré problémy z b. Stále sú k dispozícii len tri neprekrývajúce sa kanály a problémy s rušením od iných zariadení, ktoré v pásme 2,4 GHz pracujú sa taktiež nevyriešili.[2] Ďalšie pracovné skupiny: a - používa pásmo 5GHz, rýchlosť na fyz. vrstve je 54Mbps e podpora QoS u a, b a g i - bezpečnosť 4

14 3 Metódy šifrovania vo WiFi sieťach Pod šifrovaním dát rozumieme takú transformáciu dát, ktorá vytvorí utajenie dát. Pod dešifrovaním rozumieme spätnú transformáciu získanie pôvodných dát. Z pohľadu matematických postupov pri šifrovaní a dešifrovaní existuje šifrovanie symetrické a asymetrické. 3.1 Symetrické šifrovanie Pri symetrickom šifrovaní majú obe zúčastnené strany k dispozícii ten istý tzv. tajný kľúč, vo všeobecnosti ide o informáciu, alebo postup potrebný k šifrovaniu a dešifrovaniu. Existujú viaceré rozdielne symetrické šifry, od jednoduchých, ktoré pochádzajú z histórie kryptografie, až po moderné zložité šifry, ktoré sú v súčasnosti považované za neprekonateľné v realistickom čase. Dôležitým parametrom kľúča je jeho dĺžka v bitoch. Vo všeobecnosti platí téza: čím dlhší kľúč, tým vyššia bezpečnosť, no jednotlivé algoritmy (šifry) môžu mať úplne rôzne rády, v ktorých sa bezpečné dĺžky kľúčov pohybujú. 3.2 Asymetrické šifrovanie Základným rozdielom asymetrického a symetrického šifrovania je fakt, že tajné kľúče používané pre šifrovanie a dešifrovanie sú pri asymetrickom rôzne, pričom ten, kto má k dispozícii kľúč pre šifrovanie, z neho nevie získať kľúč pre dešifrovanie. Tento revolučný prístup zmenil pohľad na základný problém pri šifrovaní distribúciu tajného kľúča. Pri asymetrickom šifrovaní teda existujú dva kľúče, šifrovací, tzv. verejný kľúč, a dešifrovací, tzv. privátny kľúč. Verejný kľúč dostal svoje meno, pretože je možné ho bez obáv zverejniť a takýmto spôsobom umožniť komukoľvek, aby vlastníkovi privátneho kľúča posielal zašifrované správy, ktoré bude môcť dešifrovať iba on. Dvojica kľúčov sa nazýva kľúčový pár, pretože kľúče spolu matematicky súvisia a sú vytvárané naraz. Asymetrické šifry pracujú na pomerne zložitých matematických princípoch, založených na teórii diskrétnych logaritmov, konečných polí a polynómov v týchto poliach. Výhodou symetrických šifier je ich rýchlosť a v prípade bezpečnej distribúcie kľúča aj spoľahlivosť. Asymetrické šifry sú spoľahlivé, nepotrebujú žiadnu distribúciu kľúča, ale ich nevýhodou je vyššia výpočtová zložitosť. Bežne sa používa kombinácia symetrických a asymetrických šifier, ktorá odstraňuje nevýhody oboch prístupov. 5

15 Asymetrická šifra sa použije na bezpečnú distribúciu kľúčov pre symetrickú šifru a ňou sa potom šifrujú dáta. 3.3 Protokol WEP Ako už vyplýva z názvu WEP ( Wired Equivalent Privacy), zámerom tohto protokolu je zaistiť používateľom bezdrôtových sietí určitú bezpečnosť. WEP je neoddeliteľnou súčasťou všetkých certifikovaných WLAN produktov a mnohokrát ich jedinou ochranou. Protokol WEP si však kvôli svojim nedostatkom vyslúžil veľa kritiky Ako funguje WEP Proces šifrovania vždy začína nešifrovaným textom/správou, ktorý chceme chrániť. WEP najskôr z tohto textu vypočíta 32 bitový cyklický súčet CRC, teda kontrolný súčet pre overenie integrity dát. Tento kontrolný súčet sa následne pripojí za prenášanú správu. Ďalej vezmeme tajný kľúč a pripojíme ho k inicializačnému vektoru IV. Kombináciu IV a tajného kľúča odošleme do generátora pseudonáhodných čísel RC4 a výstupom bude šifrovací kľúč. Šifrovací kľúč je kombinácia núl a jednotiek rovnako dlhá ako pôvodná správa plus kontrolný súčet. Následne medzi textom spojeným s kontrolným súčtom a šifrovacím kľúčom urobíme logický súčet XOR. Výsledkom bude šifrovaný text. Pred tento šifrovaný text pripojíme hodnotu inicializačného vektora a tento výsledok potom prenášame. Obr. 1.1 Šifrovanie protokolom WEP Iné znázornenie tejto operácie ukazuje obr Vezmeme kontrolný súčet CRC a pripojíme ho k pôvodnej správe. Medzi týmto celkom a šifrovacím kľúčom urobíme operáciu XOR. Šifrovací kľúč vzniká ako spojenie inicializačného vektora a tajného kľúča, ktorým inicializujeme pseudonáhodný generátor RC4. 6

16 Obr Šifrovanie protokolom WEP zjednodušené Dešifrovanie prebieha rovnako ako šifrovanie, ibaže obrátene. Vezme inicializačný vektor (ktorý je súčasťou prijatej správy), pripojíme k nemu tajný kľúč a výsledok sa odošle generátoru RC4, ktorý znovu vytvorí sekvenciu šifrovacieho kľúča. Medzi týmto kľúčom a zašifrovanou správou urobíme operáciu XOR, čím dostaneme pôvodnú správu. Znova si pre ňu vypočítame kontrolný súčet a porovnáme ho so súčtom, ktorý sme prijali. Keby kontrolné súčty navzájom nesúhlasili, predpokladáme poškodenie správy a vymažeme ju. Jednou z chýb v návrhu protokolu WEP je skutočnosť, že nie je špecifikované ako sa má generovať inicializačný vektor. IV je 24bitová hodnota pridávaná pred tajný kľúč. Dôvodom prečo sa IV vôbec používa je to, že potrebujeme zaistiť aby bola inicializačná hodnota generátora zakaždým iná. Najzákladnejšou požiadavkou šifry RC4 je to, aby sa nikdy za žiadnych okolností znovu nepoužila rovnaká inicializačná hodnota. Problémom protokolu WEP však spočíva v tom, že nie je určené ako inicializačný vektor generovať. Pretože pre odoslanie každého paketu potrebujeme generátorom RC4 inicializovať inú hodnotu, vychádza nám, že pri vyšších prenosových rýchlostiach vyčerpáme celý 24bitový priestor inicializačného vektora za niekoľko hodín. V tom okamihu sme nútený znovu použiť už použitú hodnotu IV a tým porušujeme najhlavnejšie pravidlo RC4, zakazujúce použitie kľúča opakovane. Ako náhle k opakovanému použitiu rovnakého inicializačného vektora dôjde, hovoríme o kolízii. Keď kolízia nastane, kombinácia zdieľaného tajného kľúča a opakovaného inicializačného vektora vedie k tomu, že sa generuje rovnaká sekvencia šifrovacieho kľúča. Pretože sa IV prenáša nešifrovane, útočník odpočúvajúci prevádzku môže spozorovať, že ku kolízii došlo. Na základe odhalenia kolízie IV je možné spáchať niekoľko rôznych útokov.[3] 7

17 3.3.2 Útoky na WEP útok na šifrovaciu sekvenciu útoky hrubou silou efektívny útok FMS Útok na šifrovaciu sekvenciu Ide o metódu, pri ktorej na základe analýzy dvoch paketov odvodených od rovnakého IV zistíme sekvenciu šifrovacieho kľúča. Zmysel spočíva v tom, že XOR dvoch zašifrovaných správ a XOR dvoch pôvodných správ nám dáva rovnaký výsledok obr Obr. 1.3 Útok na šifrovaciu sekvenciu Ako môžeme vidieť na obrázku, 8 bitov pôvodnej správy 1 XOR-ujeme šifrovacou sekvenciou, pričom výsledkom bude zašifrovaný správa 1. Podobne 8 bitov pôvodnej správy 2 rovnako XOR-ujeme šifrovacou sekvenciou a výsledkom bude zašifrovaná správa 2. Vo výsledku si teda môžeme všimnúť, že XOR oboch zašifrovaných správ nám dáva rovnaký výsledok ako XOR oboch pôvodných správ. Pokiaľ budeme poznať obe zašifrované správy (, ktoré sme zachytili napr. odposluchom) a budeme poznať jednu pôvodnú správu, na základe toho sme schopný zistiť aj druhú pôvodnú správu. Naskytá sa nám tu otázka ako zistíme jednu pôvodnú/nešifrovanú správu, z ktorej by sme neskôr mohli odvodiť druhú pôvodnú správu. Jednou s možností je poslať na cieľový počítač, ktorý je viditeľný s internetu určitý paket napr. s neobvyklou veľkosťou, ktorý potom v zachytených dátach budeme hľadať. Nakoľko tento paket odosielame my jeho obsah poznáme. Útok na šifrovaciu sekvenciu je možný samozrejme len v prípade, že dôjde k opakovaniu inicializačného vektora, čo je však u protokolu WEP častá záležitosť. Pretože štandard nedefinuje ako má byť generovanie IV implementované, dochádza často k jeho opakovaniu. Pokiaľ má AP vyhovovať štandardu musí dokonca akceptovať 8

18 opakovane použitý IV. Tým sa však porušuje hlavná zásada šifry RC4 rovnaký kľúč nesmie byť nikdy použitý dvakrát. Opakované použitie toho istého kľúča je riskantné. Ak teda útočník bude poznať pôvodnú/nešifrovanú správu a správu zašifrovanú, môže z týchto informácií odvodiť aj šifrovaciu sekvenciu. Ako náhle sa tak stane, útočník môže pomocou šifrovacej sekvencie vytvoriť falošnú zašifrovanú správu. Vzniknutý paket potom môže poslať do siete a príjemca ho dešifruje ako platné dáta. Útok hubou silou Tento útok predstavuje ďalšiu možnosť ako rozlúštiť WEPový kľúč. Zdieľaná tajná časť WEPového kľúča má dĺžku 40 prípadne 104 bitov, podľa toho aký silný kľúč používame. Bezpečnostný špecialista Tim Newsham zistil, že u niektorých výrobcov nesprávne funguje generátor kľúča. Tento generátor kľúča umožňuje používateľovi zadať text, z ktorého sa potom vygeneruje samotný kľúč. Používateľ tak nemusí ručne zadávať šestnástkové hodnoty zodpovedajúce kľúču. Z hľadiska pohodlia to môže predstavovať isté výhody avšak na úkor bezpečnosti, nakoľko implementácia týchto generátorov nie je súčasťou žiadneho štandardu a nie je tak presne stanovená. Tim Newsham zistil, že generátory kľúčov rôznych výrobcov trpia rôznymi problémami a práve kvôli tomu sa neodporúča ich používanie. Z hľadiska bezpečnosti je vždy istejšie zadať WEPový kľúč ako postupnosť šestnásťkových cifier. Tak isto sa odporúča používať čo najdlhší možný kľúč. Pri útoku hrubou silou vám stačí zachytiť jeden jediný šifrovaný paket a potom použiť obrovskú výpočetnú silu. (V praxi budete určite potrebovať pakety dva jeden, na ktorom kľúč rozlúštite a druhý, na ktorom si overíte, či ste lúštili správne.). [3] Efektívny útok FMS Útok FMS, ktorý popísali Scott Fluhrer, Istik Mantin a Adi Shamir v dokumente Weakness in the Key Scheduling Alogorithm of RC4 potrebuje k rozlúšteniu kľúča veľký počet dát. V sieťach s veľkou prevádzkou to nepredstavuje problém. Ak chce útočník rozlúštiť WEPový kľúč metódou FMS stačí ak do blízkosti AP umiestni svoje PDA s nástrojom ako je napr. AirSnort ( program, ktorý lúšti WEPový kľúč) pripadne podobným. Naopak u sietí kde je prevádzka len veľmi malá musí mať útočník veľkú dávku trpezlivosti. Zručnejší útočník však môže použiť sofistikovanejšiu metódu, a to umelo vygenerovať dostatočne veľkú prevádzku, z ktorej neskôr dokáže kľúč rozlúštiť. Jednou z možností je použiť metódu injekcie paketov : Útočník zachytí časť zašifrovanej prevádzky a na základe dĺžky paketov sa pokúsi nájsť známu komunikačnú 9

19 výmenu niektorého protokolu napr. požiadavka ARP (Address Resolution Protocol) má známu dĺžku 28 bajtov Obr Po zachytení takéhoto paketu ho útočník opakovane vysiela do siete Obr Odpoveď na požiadavku ARP bude generovať neustále novú prevádzku, ktorú útočník bude môcť zachytiť. Ak bude útočník tento postup opakovať, môže sa mu za krátky čas podariť vygenerovať dostatočne veľkú prevádzku na to aby mohol úspešne použiť metódu FMS. Obr. 1.4 Útočník zachytí legitímny šifrovaný paket ARP (s dĺžkou 28 bitov) Obr. 1.5 Útočník zahltí sieť opakovanými ARP požiadavkami Útok FMS je teda založený na nazbieraní dostatočného množstva dát šifrovaných slabým kľúčom. Rada výrobcov však ku svojim zariadeniam vydala firmware, v ktorom sa určité sekvencie IV preskakujú a slabé kľúče sa preto nevyskytujú. Bezpečnosť siete s WEP je možné narušiť aj mechanicky: jednoducho krádežou jedného z koncových zariadení s príslušnou Wi-Fi kartou útočník získa zdieľaný kľúč, pokiaľ nie je v systéme chránený dobrým heslom. WEP je, okrem odhalenia kľúča 10

20 pasívnym odposluchom alebo aktívnym útokom s generovaním vlastnej prevádzky a následne útokom hrubou silou na kľúč, náchylný ešte k útokom typu replay, man-in-themiddle, (kvôli nedostatočnému mechanizmu zaistenia integrity dát ICV, Integrity Check Value).[4] WEP používa šifrovací mechanizmus so zdieľaným kľúčom, čo znamená, že pre šifrovanie i dešifrovanie sa používa rovnaká tajná hodnota (kľúč). Odosielateľ aj príjemca musia hodnotu kľúča poznať. Jedným z problémov protokolu je to, že nerieši problém správy kľúča, čiže to ako sa má kľúč distribuovať medzi používateľmi. Týka sa to hlavne prostredia s veľkým počtom používateľov, kde by prezradenie kľúča tretej osobe mohlo ohroziť bezpečnosť danej siete Autentifikácia protokolu WEP Protokol WEP používa autentifikáciu buď to tzv. (Open System), čiže otvorený systém alebo (Shared Key), čiže zdieľaný kľúč. Otvorený systém môžeme považovať aj za systém s nulovou autentifikáciou nakoľko nepoužíva žiadne heslo. Klient jednoducho požiada o autentifikáciu a AP mu povolí prístup. Toto riešenie je vhodné napríklad u verejných prístupových bodoch, kde je neobmedzený prístup zámerom. Autentifikácia (Shared Key) vyžaduje znalosť WEPového kľúča. Ide však o ten istý kľúč, ktorý sa používa k šifrovaniu dát. Shred key Autentifikácia: 1. krok: Klient pošle prístupovému bodu (AP) autentifikačnú požiadavku 2. krok: AP pošle klientovi 128 bajtov dlhú výzvu 3. krok: Klient zašifruje výzvu svojim WEPovým kľúčom a odošle ju späť na AP 4. krok: AP overí či odpoveď odoslaná klientom zodpovedá pôvodnej výzve 5. krok: AP klientovi oznámi úspešnú či neúspešnú autentifikáciu Obr. 1.6 Autentifikácia so zdieľaným kľúčom 11

21 Nevýhodou autentifikácie (Shared Key) je, že sa autentifikuje len zariadenie a nie používateľ. Keď teda k autentifikácii dôjde, jediná informácia, ktorú získate je to, že daný používateľ pozná kľúč. Nie je možné zistiť, o ktorého konkrétneho používateľa ide. [4] Prúdová šifra RC4 Protokol WEP používa prúdovú šifru RC4 spoločnosti RSA. Ide o rovnakú šifru aká sa používa aj v iných kryptografických systémoch, napr. v SSL, čo je základ protokolu HTTPS. RC4 je šifra so symetrickým kľúčom, čo znamená, že sa text šifruje a dešifruje rovnakým zdieľaným tajným kľúčom. RC4 šifruje lineárne každý bajt XORovaním s náhodnou sekvenciou. Ako už bolo povedané, pre inicializáciu šifry RC4 sa používa kombinácia inicializačného vektora a tajného kľúča. IV je 24bitové číslo. Viacero výrobcov tvrdí, že používa 64bitový prípadne 128bitový WEP, čo je do určitej miery zavádzajúce, pretože 24 bitov tohto kľúča je inicializačný vektor a ten sa prenáša nešifrovane. Prísne povedané je dĺžka tajnej časti kľúča len 40 alebo 104 bitov. Problém WEPu teda nie je v použití šifry RC4 ale v tom ako je jej použitie implementované. Aj napriek všetkým nedostatkom, ktoré protokol WEP má, je stále využiteľný a to hlavne v prostredí s malou prevádzkou. Rozlúštenie WEPového kľúča nie je triviálna záležitosť. Útočník potrebuje určitú mieru schopností a vytrvalosti, aby útok dokázal zrealizovať. Vyriešenie problémov protokolu WEP spočíva vo zväčšení veľkosti inicializačného vektora a v znemožnení opakovaného použitia rovnakej hodnoty IV. 3.4 WPA Nakoľko protokol WEP so svojimi nedostatkami neumožňoval komplexné zabezpečenie bezdrôtových sietí, pracovná skupina IEEE i intenzívne pracovala na vývoji jeho alternatívy. Z protokolu WEP tak vznikol WEP2, ktorý bol neskôr zmenený na WPA teda WiFi Protected Acces. WPA predstavuje akýsi medzistupeň resp. dočasné riešenie pre zabezpečenie bezdrôtových sietí. Nové bezpečnostné mechanizmy v rámci WPA museli odstrániť zásadné nedostatky protokolu WEP, teda prakticky nulovú autentizáciu a veľmi slabé šifrovanie statickým kľúčom. Autentizácia sa zlepšila prostredníctvom použitia obecného rámca riadenia prístupu podľa 802.1x, ktorý využíva EAP (Extensible Authentication Protocol), alebo použitím alternatívne prednastaveného zdieľaného kľúča (PSK, PreShared Key). Pre šifrovanie sa namiesto WEP použil nový protokol pre šifrovanie dynamickým kľúčom TKIP (Temporal Key Integrity Protocol) 12

22 a zaviedol sa taktiež manažment kľúčov. Okrem toho všetkého sa kontroluje integrita správ pomocou algoritmu nazývaného Michael (MIC, Message Integrity Check). WPA teda zahrňuje podmnožinu bezpečnostných mechanizmov navrhnutých pre i, ktoré však nevyžadujú viac než softvérový upgrade pre zariadenia. TKIP rieši nasledujúce slabiny: Útok opakovaním možnosť opakovaného použitia hodnoty IV Útoky založené na kolízii kolízia IV Útoky na slabé kľúče šifra RC4 je napadnuteľná útokom FMS Protokol x rieši slabiny: Chýbajúca správa kľúčov Chýbajúca identifikácia a autentizácia používateľov Chýbajúca podpora pokročilých autentizačných metód (tokeny, čipové karty, certifikáty, jedno rázové heslá a pod.) TKIP Mechanizmus TKIP zlepšuje šifrovanie prostredníctvom troch hlavných prvkov: Funkcia mixovania kľúča pre každý paket Vylepšená funkcia kontroly integrity (MIC pomenovaná ako Michael) Vylepšené pravidlá generovania IV vrátane sekvenčných pravidiel V zásade predstavuje TKIP len dočasnú opravu protokolu WEP, ktorú však možno implementovať jednoduchou aktualizáciou softvéru. Kvôli zachovaniu spätnej kompatibility s už nainštalovaným hardvérovým vybavením boli pri jeho návrhu uskutočnené rôzne kompromisy. Momentálne však TKIP predstavuje riešenie všetkých známych problémov protokolu WEP. Klient začína s doma kľúčmi 128bitovým šifrovacím kľúčom a 64bitovým kľúčom pre zaistenie integrity, ktoré získa bezpečnými mechanizmami v priebehu iniciálnej komunikácie protokolom 802.1x. Šifrovací kľúč sa označuje ako TK Temporal Key (viď. Obr. 2.3). Kľúč pre zaistenie integrity sa označuje ako kľúč MIC Message Integrity Code. V prvej fáze sa urobí operácia XOR medzi MAC adresou odosielateľa a hodnotou TK, čím vzniká kľúč označený ako Fáza 1 (príp. medziľahlý kľúč). Tento kľúč sa mixuje so sekvenčným číslom a vzniká tak kľúč Fázy 2, pre prenos jediného paketu. Výstup druhej fázy sa odošle mechanizmu WEP ako štandardný 128bitový WEPový kľúč (teda IV + tajný kľúč). Zbytok procesu už prebieha rovnako ako klasická 13

23 transakcia protokolom WEP. Rozdiely spočívajú v tom, že v dôsledku prvej fázy už nepoužívajú všetci klienti rovnaký WEPový kľúč, a v dôsledku druhej fázy už neexistuje korelácia medzi hodnotou IV (v tomto prípade sekvenčným číslom) a samotnou kľúčovacou sekvenciou. TKIP ďalej rieši aj problém s kolíziami IV a to pomocou dvoch jednoduchých pravidiel. Priestor inicializačného vektora sa zväčšil z 24 bitov na 48 bitov. Pri rýchlosti 54Mbps to znamená, že vyčerpanie stavového priestoru by trvalo cez 1000 rokov. Taktiež nariaďuje, že hodnota IV rastie postupne od nuly a hodnoty mimo poradia sa ignorujú. Obr. 2.1 Šifrovanie mechanizmom TKIP Mixovanie paketového kľúča Pripomeňme si, že problém pôvodného návrhu protokolu WEP spočíval v tom, že hodnota IV sa jednoducho pripojila k tajnému kľúču a odoslala sa generátoru RC4. U TKIP prvá fáza zaistí, že každý klient používa iný medziľahlý kľúč. V druhej fáze sa tento kľúč mixuje so sekvenčným číslom a až tento výsledok sa následne odošle do generátora RC4. Ide teda o prepracovanejší postup. Vďaka tomuto mechanizmu tak TKIP odstraňuje nevhodnú implementáciu použitia RC4 vo WEP protokole. 14

24 Obr Šifrovací mechanizmus WEP a TKIP Michael funkcia kontroly integrity V TKIP sa namiesto jednoduchej 32bitovej hodnoty CRC, určenej ku kontrole integrity používa funkcia Michael. Ide o jednocestnú hašovaciu funkciu, ktorá bola navrhnutá Nielsom Fergasonom. Nejde o lineárnu funkciu a pre útočníka je tak veľmi zložité pri prenose paket modifikovať. Michael vyžaduje nasledujúce vstupy: kľúč MIC, zdrojovú adresu, cieľovú adresu a nešifrovaný text. Tým, že pracuje so zdrojovou aj cieľovou adresou, je možné overiť integritu MAC adries. Výstup algoritmu Michael je dlhý 8 bajtov a pripojuje sa k prenášaným dátam. [3] WPA-PSK Ako už bolo povedané, TKIP ako aj WPA spolieha pri distribúcii kľúčov na infraštruktúru protokolu 802.1x (napr. RADIUS server). Nie všetci domáci používatelia však majú túto infraštruktúru k dispozícii, takže aby mohli využívať šifrovaciu funkciu TKIP, zavádza WPA špeciálny režim, označovaný ako režim s pred-zdieľaným kľúčom (Pre-Shared Key, PSK). V tomto režime musia všetci používatelia na všetkých AP nastaviť zdieľanú tajnú hodnotu, takzvaný master key. Je to podobné tomu, keď sa u protokolu WEP všade nastavoval WEPový kľúč. Na rozdiel od WEPu však TKIP používa tento kľúč len ako východziu hodnotu, pomocou ktorej sa matematicky odvodia potrebné šifrovacie kľúče. Na rozdiel od WEPu, kde sa ten istý kľúč používal stále dokola, TKIP zabezpečuje zmenu šifrovacích kľúčov, takže je zaručené, že rovnaký kľúč nebude nikdy použitý dvakrát. WPA bolo teda navrhnuté iba ako dočasné opatrenie opravujúce chyby protokolu WEP. Hlavným cieľom návrhu bolo zachovanie spätnej kompatibility s už existujúcim 15

25 hardvérom. Tým však bola obmedzená možnosť navrhnúť ideálne riešenie, pretože väčšina existujúcich zariadení proste nemá vhodný hardvér a dostatočne výkonný procesor, ktorý je nutný k podpore pokročilejších šifrovacích algoritmov i alias WPA 2 V júny 2004 bola konečne IEEE schválená dlho očakávaná norma definujúca doplnkové bezpečnostné mechanizmy bezdrôtových sietí a/b/g. Jej veľkým prínosom je odstránenie známych problémov so šifrovaním WEP, zdokonaľuje autentizáciu ako aj šifrovanie. WPA 2 zahŕňa úplne novú šifru AES (Advanced Encryption Standard). Je to šifra zodpovedajúca americkému federálnemu štandardu FIPS (Federal Information Standards), ktorá bola navrhnutá ako náhrada mechanizmu RC4, ktorý sa používal v protokoloch WEP ako aj TKIP. AES ponúka rôzne režimy činnosti. V špecifikácii i sa používa čítačový režim s protokolom CBC-MAC (CCM), zvyčajne označovaný ako AES-CCMP. Čítačový režim zaisťuje šifrovanie a CBC-MAC zaisťuje autentizáciu a integritu dát. [6] Rovnako ako RC4 je AES šifra so symetrickým kľúčom, čo znamená, že text sa šifruje aj dešifruje rovnakým zdieľaným tajným kľúčom. Na rozdiel od šifry RC4, ktorá šifruje lineárne každý bajt XORovaním s náhodnou sekvenciou, AES pracuje s blokmi o veľkosti 128 bitov a preto sa označuje ako bloková šifra. CCMP a TKIP majú radu spoločných vlastností. Oba používajú 128bitový dočasný kľúč, odvodený od master kľúča, ktorý sa získava v priebehu jednania s protokolom 802.1x. V terminológii CCMP sa 48bitová hodnota IV označuje ako číslo paketu (PN). Rovnako ako TKIP aj CCMP obsahuje algoritmus MIC, ktorý zaisťuje, aby nedošlo k modifikácii prenášaných dát. Mechanizmus MIC v CCMP však nefunguje rovnako ako algoritmus Michael v TKIP. Výpočet MIC je založený na inicializačných hodnotách vychádzajúcich z IV a z ďalších hlavičkových informácií. Pracuje v 128bitových blokoch a počíta sa cez jednotlivé bloky až na koniec originálnej správy, kde sa vypočíta konečná hodnota. Čítačový režim šifrovaný šifrou AES sa výrazne líši od WEP/TKIP a RC4. Výstupom šifry AES je po inicializácii (založenej na IV a ďalších hlavičkových informácií) len 128bitový blok. Celý vstupný text sa rozdelí na 128bitové bloky a tie sa postupne XORujú 128bitovým zakaždým novo generovaným výstupom AES tak dlho, 16

26 pokiaľ nedôjde k zašifrovaniu celej pôvodnej správy. Na koniec sa čítač vynuluje, XORuje sa hodnota MIC, ktorá sa pridáva na koniec rámca. [3] Výsledkom je omnoho silnejšia šifra. Zvýšené šifrovacie nároky by však mohli resp. by preťažili procesory používaných zariadení založených na WEP/RC4. Z tohto dôvodu vyžaduje AES nový hardvér, a je teda nekompatibilný s niekdajšou prvou generáciou bezdrôtových zariadení. 3.6 Zhrnutie V tejto kapitole sme si priblížili základné metódy a protokoly slúžiace na zabezpečenie bezdrôtových sietí. Ide o metódy šifrovania. Najznámejší a azda aj najpoužívanejší je protokol WEP. Pripomeňme si niektoré jeho slabé miesta: 24bitová hodnota inicializačného vektora je nedostatočná, zlé implementovanie šifry RC4, nerieši správu a distribúciu kľúčov, slabá takmer nulová autentifikácia, zraniteľnosť na rôzne druhy útokov. Aj napriek jeho slabinám stále predstavuje základ zabezpečenia WLAN sietí. Protokol WEP bol neskôr nahradený WPA, ktoré riešilo väčšinu jeho problémov avšak stále nezaručovalo bezpečnosť v pravom slova zmysle. Išlo teda o akýsi článok medzi WEP a vtedy ešte neschválenou normou i/WPA2. Ako náhle sa hovorí o WPA, malo by sa nám automaticky vybaviť TKIP, ktoré tak isto vylepšuje šifrovanie a to bez potreby zmeny hardvéru. Mechanizmus TKIP zlepšuje šifrovanie pomocou troch hlavných prvkov: funkciou mixovania kľúča pre každý paket, vylepšenou funkciou kontroly integrity Michael, zväčšením IV na 48 bitov a definovanie jeho generovania. Najvyšší stupeň bezpečnosti určite predstavuje schválená norma i alias WPA2. Táto využíva bezpochyby najsilnejší šifrovací mechanizmus, ktorým je AES. AES je považovaný za dostatočný šifrovací mechanizmus aj pre vládne účely. Jeho rozlúštenie sa v blízkej budúcnosti len ťažko predpokladá, avšak pri jeho použití je zmena hardvéru nutná. Porovnanie jednotlivých metód šifrovania v domácom a podnikovom prostredí Zabezpečenie Autentifikácia Šifrovanie Použiteľnosť pre domáce siete Použiteľnosť pre podnikové siete WEP Nulová WEP dobrá slabá WPA (PSK) PSK TKIP najlepšia slabá WPA2 (PSK) PSK AES-CCMP najlepšia slabá WPA (plné) 802.1x TKIP dobrá lepšia WPA2 (plné) 802.1x AES-CCMP dobrá najlepšia 17

27 4 Autorizácia prístupu do WiFi siete. Aby sme správne pochopili čo znamená pojem autorizácia musíme si zadefinovať pojem autentifikácia, ktorá s tým bezpodmienečne súvisí. Autentifikácia (authentication) je proces preverovania, či niekto alebo niečo je tým, čo deklaruje. Zjednodušene povedané ide o overenie identity. Používateľ nadobúda právo prihlásiť sa do systému (login). V praxi sa najčastejšie na autentifikáciu používa meno používateľa (user name) a prihlasovacie heslo (password). Meno v tomto prípade nemusí byť identické s pravým menom používateľa, bežne sa používa pseudonym, ktorý zaručuje potrebnú mieru jeho anonymity. Na autentifikáciu možno však použiť aj náročnejšie nástroje či metódy, ako je pamäťová karta (magnetická, čipová), rozpoznanie hlasu, skenovanie sietnice alebo odtlačku prsta. Vysokú bezpečnosť autentifikácie možno dosiahnuť najmä použitím biometrických metód a digitálnych certifikátov. Autorizácia (authorisation) je proces udelenia povolení na prístup k vyhradeným cieľom (službám) práve autentifikovanému používateľovi. Tento používateľ sa prihlásil a má prístup do systému, autorizácia určuje jeho práva, privilégiá a možnosti využívania zdrojov a služieb systému. Autorizácia spolu s autentifikáciou hrá dôležitú úlohu v oblasti bezpečnosti. Zabezpečuje dôveryhodnosť ako používateľov tak zariadení a zamedzuje neoprávnenému prístupu k využívaniu služieb prípadne samotných zariadení x Protokol 802.1x vychádza z protokolu PPP (Point-to-Point Protocol), ktorý sa pôvodne využíval u vytáčaných pripojeniach a neskôr u niektorých DSL modemov a káblových modemov (ako protokol PPP-over-Ethernet, PPPoE). Protokol PPP je však obmedzený tým, že umožňuje autentifikáciu založenú len na kombinácii používateľského mena a hesla. IEEE 802.1x je obecný bezpečnostný rámec pre všetky typy LAN, zahrňujúci autentifikáciu používateľov, integritu správ a distribúciu kľúčov. Aj keď tento štandard nebol pôvodne určený pre bezdrôtové siete, je možné ho použiť k významnému zlepšeniu bezpečnosti v prostredí a samozrejme ním môžme chrániť aj fyzické porty v metalickej sieti. V kontexte môžme každého bezdrôtového klienta chápať ako virtuálne metalické pripojenie x blokuje celú prevádzku na danom porte až do doby, kým sa klient autentifikuje prostredníctvom údajov, ktoré sú uložené na back-end serveri, ktorým je RADIUS (Remote Authentication Dial In User Service) Nerieši však to 18

28 akou formou sú tieto prihlasovacie informácie prenášané. Práve k tomu 802.1x používa EAP. [7] EAP (Extensible Authentication Protocol) je bezpečnostný protokol, ktorý bol pôvodne vytvorený ako rozšírenie protokolu PPP. Jeho základným cieľom bolo vytvoriť obecnú platformu pre rôzne autentizačné metódy. Inak povedané, ide o PPP so zásuvnými autentizačnými modulmi. Vďaka tomu môžete používateľa autentifikovať tak ako si prajete. Môžu sa používať heslá, certifikáty, tokeny, čipové karty, a čokoľvek iné. Tento otvorený štandard umožňuje, kedykoľvek v budúcnosti metódy zabezpečenia zlepšiť. Aby sme pochopili chovanie protokolu 802.1x, musíme sa oboznámiť s troma jeho základnými komponentmi, ktorými sú: žiadateľ, autentizátor, a autentizačný server (obr.3.1). Žiadateľ používateľ alebo klient používajúci prístup k sieti. Autentizátor prepínač alebo AP, povoľujúci alebo blokujúci prevádzku. Autentizačný server systém uchovávajúci autentizačné informácie, typicky server RADIUS. Obr Schéma 802.1x Autentizátor (prístupový bod) funguje na princípe kontroly autentizácie. Pokiaľ autentizácia neprebehne autentizátor neumožní žiadnu prevádzku okrem správ protokolu 802.1x. Ak sa naopak autentizácia uskutočnení je povolená ľubovoľná prevádzka. Dosahuje sa to zavedením tzv. dvoch virtuálnych portov riadeného a neriadeného portu (obr. 3.2.) Neriadený port slúži len na komunikáciu medzi autentizátorom a autentizačným serverom. Riadený port je spočiatku v neautorizovanom stave, kedy je 19

29 blokovaná celá prevádzka. Po autentizácii klienta sa tento port prepne do autorizovaného stavu a môže ním prechádzať sieťová prevádzka. [3] Obr Riadené a neriadené porty Autentizácia začína odoslaním rámca EAP Start (obr.3.4.), žiadateľom. Autentizátor odpovedá rámcom EAP Request/Identity, čím dáva najavo, že rámec zachytil a čaká na identifikáciu. Žiadateľ odpovedá rovnako, čiže rámcom EAP Request/Identity, v ktorom sa zároveň identifikuje (uvedie používateľské meno). Autentizátor túto informáciu ďalej odošle autentizačnému serveru. Ten následne pošle autentizátorovi rámec EAP request, ktorý obsahuje určitú výzvu alebo požiadavku na informáciu, napríklad na zadanie hesla. Autentizátor tento rámec odošle žiadateľovi, ktorý naň príslušným spôsobom odpovie. Autentizátor odpoveď prevezme a odošle ju autentizačnému serveru. Obr Komunikácia protokolom 802.1x 20

30 Následne uskutoční autentizačný server overenie a o odpovie autentizátorovi rámcom EAP-Succes (alebo Failure). Ak autentizátor dostane rámec EAP-Succes, prepne riadený port z neautorizovaného stavu do stavu autorizovaného a povolí normálnu sieťovú komunikáciu. Žiadateľ a autentizačný server spolu nikdy nekomunikujú priamo, ale len prostredníctvom autorizátora. Klient teda môže v sieti komunikovať až keď sa úspešne autentizuje x rieši aj ďalšie bezpečnostné problémy. Na rozdiel od klasického WEPu kde všetci klienti používali rovnaký zdieľaný tajný kľúč, protokol 802.1x umožňuje aby každý klient dostal svoj vlastný WEPový kľúč. To zabezpečí, že ak sa útočníkovi podarí WEPový kľúč rozlúštiť, bude schopný rozlúštiť len komunikáciu daného používateľa prípadne danej relácie a nie celej siete. Táto technika sa označuje ako dynamický WEP a samozrejme znižuje riziká vyplývajúce z WEPu a jeho zraniteľnosti. Ďalšou výhodou protokolu 802.1x je to, že navyše umožňuje automatickú regeneráciu kľúča, t.j. môže donútiť klientov pravidelne žiadať o nový kľúč, čím sa zníži počet kolízií IV. Azda najväčším pozitívom u 802.1x je možnosť všetkých klientov individuálne identifikovať a autentifikovať, čo v pôvodnom prostredí nebolo možné EAP a jeho autentizačné metódy Protokol EAP podporuje desiatky metód autentizácie avšak medzi najrozšírenejšie patria MD5, LEAP, TLS, TTLS a PEAP. Od zvolenej metódy sa odvíja náročnosť implementácie ako aj bezpečnosť celého riešenia. Niektoré metódy sa inštalujú jednoduchšie, iné sú zas omnoho bezpečnejšie. Zvolenú metódu autentizácie však musia podporovať všetky tri komponenty systému, teda žiadateľ, AP ako aj server MD5 Algoritmus MD5 (Message-Digest algorithm 5) bol vytvorený v roku 1991 (Ronaldem Rivestem) aby tak nahradil už existujúcu funkciu MD4. MD5 je hašovacia funkcia s takzvaným digitálnym odtlačkom (inak povedané s kontrólnym súčtom, hašom) s veľkosťou 128bitov. Táto metóda je z hľadiska inštalácie najjednoduchšia, avšak predstavuje najnižšiu možnú úroveň zabezpečenia. Jej nevýhodou je, že na stane serveru musia byť heslá uložené v čitateľnej podobe. [5] Ide o jednosmernú autentizáciu, takže AP si overí totožnosť klienta, klient si ale nemá možnosť overiť totožnosť AP. V kontexte PPP to príliš nevadí, pretože vydávať sa 21

31 za server telefonického prístupu je príliš komplikované. Inak povedané vo svete vytáčaného pripojenia je istá miera dôvery daná a vychádza z toho, že klient vytáča telefónne číslo serveru a má celkom slušnú istotu, že server na vzdialenej strane je naozaj tým serverom, na ktorý sa chcel dovolať. Nabúrať sa do telefónnej siete a presmerovať telefónny hovor klienta je príliš zložité. Naopak nastaviť falošný AP je proti tomu triviálne. V kontexte bezdrôtových sietí je preto vzájomná autentizácia neodmysliteľná. Metóda MD5 na rozdiel od ostatných metód EAP nepodporuje dynamické generovanie WEP/TKIP kľúčov. Neobsahuje žiadne mechanizmy umožňujúce vytváranie individuálnych kľúčov pre jednotlivých klientov. Práve pre tieto vlastnosti sa MD5 neodporúča používať v produkčnom prostredí. Príklad kontrolného súčtu MD5: Odtlačok 43bitového znakového reťazca (vyjadrený v hexadecimálnom zápise) Reťazec s malou zmenou ( d sa zmenilo na c ) odtlačok sa úplne zmenil LEAP LEAP (Lightweight Extensible Authentication Protocol). Ide o protokol, ktorý navrhla spoločnosť CISCO ako dočasné riešenie pred schválením štandardu 802.1x. Protokol LEAP poskytuje vzájomnú autentizáciu ako aj dynamickú obnovu WEPových kľúčov, čo bez pochyby zvyšuje bezpečnosť sietí. Nevýhodou protokolu LEAP je, že ho podporujú len zariadenia CISCO (či sa už jedná o klientske adaptéry, AP či RADIUS) a preto je jeho použitie možné len v prostredí, v ktorom sa používajú výhradne zariadenia spoločnosti CISCO. Pomocou LEAP je teda možné vybudovať bezpečné bezdrôtové siete ale vzhľadom k tomu, že väčšina spoločností sa bráni úzkej väzbe na jediného dodávateľa, nebol protokol LEAP nikdy príliš rozšírený. [8] 22

32 Obr. 3.4 LEAP TLS Protokol TLS (Transport Layer Security) predstavuje z hľadiska bezpečnosti najsilnejšie riešenie. Jeho nasadenie je ale zároveň najzložitejšie. TLS a jeho predchodca SSL (Secure Sockets Layer) sú kryptografické protokoly, ktoré poskytujú zabezpečenú komunikáciu na internete pre služby ako www, , ako aj ďalšie prenosy dát. Medzi protokolmi SSL 3.0 a TLS 1.0 sú malé rozdiely, avšak ich podstata ostáva rovnaká. Protokol SSL vytvorila spoločnosť Netscape a postupom času sa stal uznávaným štandardom pre šifrovanú komunikáciu, pričom funguje priamo pod aplikačnou vrstvou. Okrem šifrovaného spojenia poskytuje taktiež možnosť overenia pravosti ako serveru tak aj klienta, kontrolu integrity prenášaných dát a jednoduchú rozšíriteľnosť. Posledná verzia protokolu SSL nesie označenie 3.0 a poslúžila ako základ pre TLS 1.0. TLS poskytuje vzájomnú autentizáciu aj dynamickú obnovu WEPových kľúčov. Protokol prostredníctvom PKI vytvára šifrovaný tunel, ktorým prebieha výmena autentizačných údajov. Po ich prenose sa okamžite tento tunel rozpadá, užitočné informácia sa teda týmto virtuálnym tunelom neprenášajú. Aby sa teda TLS mohlo použiť, musia byť na strane serveru aj na strane klienta nainštalované digitálne certifikáty. Toto predstavuje určité výhody ale aj nevýhody. Výhodou pri použití TLS je to, že toto riešenie poskytuje najvyššiu možnú mieru bezpečnosti. Nevýhodou je naopak to, že vybudovanie úplnej infraštruktúry podporujúcej PKI je veľmi komplikované a vyžaduje vybaviť používateľov, klientské počítače ako aj server prihlasovacími certifikátmi. 23

33 Obr. 3.5 EAP-TLS TTLS a PEAP Protokol TTLS (Tunneled Transport Layer Security) podporuje vzájomnú autentizáciu ako aj dynamickú obnovu WEPových kľúčov. Na rozdiel od TLS však TTLS vyžaduje certifikát len na strane serveru, klienti prihlasovacie certifikáty nepotrebujú. Klienti sa autentizujú prostredníctvom hesiel. TTLS je preto takmer rovnako bezpečné ako TLS, ale jeho nasadenie je oveľa jednoduchšie. Obr. 3.6 EAP-TTLS 24

34 Protokol PEAP (Protected EAP) je veľmi podobný protokolu TTLS. Ide o spoločný návrh CISCO systems, Microsoft a RSA. Nejde o šifrovací protokol, on len autentifikuje klienta do siete. Autentizácia klientov prebieha už spomínaným zabezpečeným kanálom, takže je možné použiť menej bezpečnú metódu. Tak isto podporuje vzájomnú autentizáciu a dynamickú obnovu WEPových kľúčov. Certifikát sa taktiež vyžaduje len na strane serveru. Prostredníctvom tohto certifikátu dôjde k autentizácii servera a následne sa môže použiť iná metóda protokolu EAP k autentizácii klienta. Obr. 3.7 EAP PEAP 4.2 RADIUS Vždy, keď sa do počítača, alebo komunikačného servera pridá nový modem, sieť sa stáva viac zraniteľnou voči neoprávneným prienikom. Sieťový administrátor má len pár nástrojov aby útokom zabránil. Problém sa stáva vypuklým hlavne v rozsiahlych sieťach s množstvom vstupných bodov. Na riešenie tohto problému bol vyvinutý RADIUS. RADIUS (Remote Authentication Dial In User Service) je AAA protokol používaný pre prístup k sieti. Ide teda o autentifikačný protokol bežne používaný v IEEE 802.1x. [9] Aj keď RADIUS pôvodne nebol vytvorený pre autentifikačné metódy v bezdrôtových sieťach, vylepšuje WEP zabezpečenie v spojení s ostatnými bezpečnostnými metódami ako je napr. EAP-PEAP a pod. Ako už bolo povedané ide o AAA (authentication, authorization and accounting) protokol pre autentifikáciu, autorizáciu a účtovanie dial-up 25

35 prístupu (modemy, DSLAMy, wireless, atď.). Pre lepšie pochopenie sieťový prvok je nakonfigurovaný tak, aby pri každom overení identity používateľa či služby, ktorá k nemu pristupuje (authentication), alebo pri rozhodovaní o povolení či odmietnutí prístupu k niektorej operácii (authorization) požiadal o vyhodnotenie RADIUS server. Taktiež posiela účtovaciemu serveru informácie o všetkých prístupoch a operáciách, o ktoré bol požiadaný (accounting). RADIUS je založený na distribuovanom bezpečnostnom modeli definovanom IETF (Internet Engineering Task Force) RFC Je postavený nad UDP, využíva port 1812 pre autentifikáciu a port 1813 pre účtovanie. Je to otvorený a škálovateľný bezpečnostný systém typu klient-server. RADIUS môže byť ľahko modifikovateľný aby spolupracoval s bezpečnostnými systémami tretích strán alebo s vlastnými bezpečnostnými systémami. Každý komunikačný server alebo sieťový hardvér, ktorý podporuje klientske RADIUS protokoly môže komunikovať s RADIUS serverom. Samotný RADIUS server je teda možné využiť na centrálnu autorizáciu bezdrôtových klientov pomocou MAC adries, centrálne overovanie a účtovanie klientov a pod. [6] žiadosť o autentifikáciu žiadosť o zadanie autentifikačných údajov odoslanie autentifikačných údajov správa o povolení prístupu Access-Request Access-Accept overneie autentifikačných údajov Klient AP RADIUS server Obr. 3.8 Zjednodušený princíp fungovania RADIUS servera Dostupné RADIUS servery Komerčné produkty: RADIATOR ( EVOLYNX ( ARadial ( 26

36 Open source: Freeradius ( Openradius ( a rada ďalších nevyvíjaných serverov. Distribuovaný prístup prináša viacero výhod: Vyššiu bezpečnosť RADIUS klient/server architektúra umožňuje, aby boli všetky autentifikačné informácie uložené na jednom serveri v centrálnej databáze. Je totiž jednoduchšie nielen z bezpečnostného hľadiska udržiavať jeden RADIUS server ako udržiavať viacero komunikačných serverov rozšírených v celej sieti. Škálovateľnú architektúru RADIUS vytvára jednu centrálnu databázu používateľov a dostupných služieb. Táto vlastnosť je obzvlášť cenená v situáciách, keď sieť obsahuje veľký počet vstupných modemov a viac než jeden komunikačný server. Každé zariadenie, ktoré vie byť RADIUS klientom, môže komunikovať s RADIUS serverom a preto je zaručené, že sa vzdialený používateľ môže pripojiť na ľubovoľné vstupné zariadenie a vždy mu bude poskytnutý rovnaký prístup. Otvorené protokoly RADIUS je otvorený a distribuovaný spolu so zdrojovými kódmi. Môže byť ľahko prispôsobený aby spolupracoval s už existujúcou infraštruktúrou počítačovej siete. Takto sa ušetrí veľa práce, lebo nie je potrebné prispôsobiť sieť požiadavkám RADIUS servera, ale RADIUS sa prispôsobí existujúcej sieti. RADIUS môže byť nakonfigurovaný tak, aby spolupracoval s ľubovoľným bezpečnostným systémom a každým komunikačným zariadením, ktoré podporuje klientske protokoly. RADIUS server má modifikovateľné vstupné rozhrania, ktoré umožňujú aby server vedel komunikovať s každou bezpečnostnou technológiou. Otvorenosť voči budúcnosti RADIUS poskytuje možnosti prispôsobovať sa okolitému prostrediu. Ak sa vo firme zavádza nové bezpečnostná technológia, RADIUS sa jej môže plne prispôsobiť bez toho, aby firma musela kontaktovať svojho dodávateľa. Samozrejme, že na strane RADIUSu musí byť istá práca vykonaná. 27

37 Výber vhodnej metodiky šifrovania a autorizácie pre potreby Katedry telekomunikácií Žilinskej univerzity v Žiline. V prvej kapitole som analyzoval metódy šifrovania, ktoré sa vo Wifi sieťach používajú, a ktorých úlohou je zabezpečiť dôveryhodnosť prenášaných dát. Medzi najznámejšie bezpochyby patrí WEP, ale množstvo jeho slabín dáva jasne najavo, že sa stáva až príliš slabým článkom a jeho prelomenie je v dnešnej dobe otázka sekúnd. Samozrejme keď nemáme inú možnosť vždy je lepšie použiť WEP ako nič! Do možností, ktorú z metód šifrovania použiť pre potreby katedry som teda zahrnul WPA so šifrovaním TKIP, či WPA2. Podobne som uvažoval aj o zvolení vhodnej metódy autorizácie prístupu do siete. Samozrejmosťou bolo vybrať si niektorú z metód 802.1x teda niektorú metódu protokolu EAP. Po dlhších úvahách som sa rozhodol zvoliť WPA2 teda štandard i v kombinácii s RADIUS serverom. Išlo by tak o dôkladné zabezpečenie siete nakoľko WPA2 podporuje šifrovanie ako TKIP tak AES prípadne ich kombináciu a pomocou RADIUS servera je možné previesť dôkladnú autentifikáciu klientov, autorizáciu prístupu ako aj účtovanie. RADIUS samozrejme podporuje aj takmer všetky metódy protokolu EAP a to MD5, TLS ako aj PEAP. 28

38 5 Konfigurácia RADIUS servera Ako už bolo povedané pre vytvorenie RADIUS servera existuje niekoľko rôznych implementácií. Asi najlepšej povesti sa teší program Radiátor, ktorý je ale komerčný, preto sme sa rozhodli použiť voľne dostupnú implementáciu FreeRADIUS. FreeRADIUS je dostupný na stránke kde si ho v sekcii download je možné bezplatne stiahnuť. Ide o pomerne kvalitný program, ktorý má rad schopností. Medzi jeho negatíva ale patrí jeho konfigurácia, ktorá je pre nezasväteného používateľa veľmi zložitá a odradzujúca. Hlavné konfiguračné súbory sa nachádzajú zväčša v adresári: /etc/raddb, prípadne /etc/freeradius. FreeRADIUS umožňuje množstvo nastavení preto musel byť konfiguračný súbor rozdelený na viacej častí. Medzi najdôležitejšie konfiguračné súbory patria: - radiusd.conf - clients.conf - users - eap.conf radiusd.conf je základný konfiguračný súbor serveru FreeRADIUS. Je dosť rozsiahly, ale veľkú väčšinu objemu zaberajú komentáre. Pre nás je dôležité, že mimo iného špecifikuje, aké postupy treba zvoliť pri žiadostiach o autentifikáciu, autorizáciu a účtovanie (authentication, authorization a accounting). clients.conf tento súbor definuje klientov, ktorí sa môžu k RADIUS serveru pripojiť, a heslá ktoré používajú. eap.conf obsahuje bezpečnostné parametre autentifikácie. V súbore sú uvedené povolené metódy EAP. users tento súbor slúži ako jednoduchá databáza používateľov. Po mnohých pokusoch s nastavovaním som zistil, že najrozumnejšie je väčšinu atribútov ponechať defaultnutých (t.j. ponechať nastavené východzie hodnoty). Ďalej teda nebudem rozoberať kompletnú konfiguráciu RADIUS serveru, zameriam sa len na zmeny, ktoré som urobil voči východzím nastaveniam programu. 29

39 V súbore radiusd.conf som zadal nasledujúce parametre: # under MODULES, make sure mschap is uncommented! mschap { # authtype value, if present, will be used # to overwrite (or add) Auth-Type during # authorization. Normally, should be MS-CHAP authtype = MS-CHAP } # if use_mppe is not set to no, mschap will # add MS-CHAP-MPPE-Keys for MS-CHAPv1 and # MS-MPPE-Recv-Key/MS-MPPE-Send-Key for MS-CHAPv2 # use_mppe = yes # if mppe is enabled, require_encryption makes # encryption moderate # require_encryption = yes # require_strong always requires 128 bit key # encryption # require_strong = yes authtype = MS-CHAP # The module can perform authentication itself, OR # use a Windows Domain Controller. See the radius.conf file # for how to do this. - nastavenie je v sekcii MODULES a ide o nastavenie autentifikácie MS-CHAP. Ďalej bolo nutné uistiť sa že "authorize" and "authenticate" obsahuje: authorize { preprocess mschap suffix eap files } authenticate { # # MSCHAP authentication. Auth-Type MS-CHAP { mschap } } # # Allow EAP authentication. eap 30

40 V súbore clints.conf bolo nutné pridať nasledujúce parametre: client /16 { secret = testing123 shortname = tester login = rovny password = peter } # secret pre úspešné nadviazanie spojenia so serverom # shortname názov nášho AP zariadenia (NAS) # login prihlasovacie meno # password - heslo - za kľúčovým slovom client nasleduje doménové meno či IP adresa dotyčného klienta. Rozhodujúcim parametrom je secret, ktorý obsahuje zdieľané heslo pre komunikáciu s daným partnerom. Ten musí vo svojej konfigurácii RADIUS protokolu mať nastavené rovnaké heslo. Hodnota shortname je informatívna a používa sa pri logovaní. Súbor users zavádza lokálnych používateľov a ich profily, bolo v ňom nutné vytvoriť: rovny Auth-Type := local, User-Password== "peter" Reply-Message = "Hello, %u" # User-Password používateľovo heslo # Reply-Message - odpoveď V súbore eap.conf sa nastavujú bezpečnostné mechanizmy a ich parametre používané pri autentifikácii. Vo východzej konfigurácii sú potlačené protokoly TLS a PEAP, ktoré považujeme za žiaduce, preto som ich povolil. default_eap_type = peap tls { # The private key password private_key_password = SecretKeyPass77 # The private key private_key_file = ${raddbdir}/certs/cert-srv.pem # Trusted Root CA list CA_file = ${raddbdir}/certs/democa/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = /dev/urandom } 31

41 peap { } # The tunneled EAP session needs a default # EAP type, which is separate from the one for # the non-tunneled EAP module. Inside of the # PEAP tunnel, we recommend using MS-CHAPv2, # as that is the default type supported by # Windows clients. default_eap_type = mschapv2 Na testovanie funkčnosti FreeRADIUS servera som použil príkazy: freeradius X, ako aj radtest, ktorý slúži na overenie používateľa. Príkaz radtest vyžaduje zadať nasledujúce parametre: radtest user password radius server[:port] nas-port number secret V našom prípade teda: radtest rovny peter localhost 10 testing123 Na hore uvedený príkaz bol získaný nasledovný výpis (odpoveď): Sending Access-Request of id 254 to :1812 User-Name = "rovny" User-Password = "peter" NAS-IP-Address = NAS-Port = 10 rad_recv: Access-Accept packet from host :1812, id=254, length=45 Reply-Message = "Hello, rovny" Preto možno konštatovať, že RADIUS server nakonfigurovaný správne! Keďže príkazom radtest som overil funkčnosť servera len lokálne, pre dôkladné odskúšanie som použil program RADIUS TEST kde sme sa na daný server pripájali vzdialene. Nasledujúce odseky uvádzajú kontrolné výpisy na strane klienta (RADIUS TEST) a servera (FREERADIUS). 32

42 Program RADIUS test: Klient: :30:50 Test started [AuthTest(CHAP)] Info:Sending Access-Request of id 0 to :1812 User-Name = "rovny" CHAP-Password = 0x00bedf2d69257ef6f8aa40f4d127b113ae Info: Access-Accept packet from host :1812, id=0, length=35 Reply-Message = "Hello, rovny" Total approved auths: 1 Total denied auths: 0 Total lost auths: 0 Total time(secs): :30:53 Test finished [AuthTest(CHAP)] Server: Ready to process requests. rad_recv: Access-Request packet from host :2038, id=0, length=47 User-Name = "rovny" CHAP-Password = 0x00bedf2d69257ef6f8aa40f4d127b113ae Sending Access-Accept of id 0 to port 2038 Reply-Message = "Hello, rovny" Server nám tak isto potvrdil prihlásenie klienta! 33

43 6 Konfigurácia prístupového bodu. Prístupový bod, ktorý som mal k dispozícii umožňoval množstvo nastavení. Ďalej sa zameriam na popis tých najhlavnejších. Na nasledujúcom obrázku sú zobrazené základné nastavenia: Obr. 4.1 Základné nastavenia AP 34

44 Ďalšie nastavenia sú v sekcii Wireless: Obr. 4.2 Nastavenie Wireless Kde: Wireless Mode: AP znamená, že nechceme aby sa zariadenie chovalo ako klient ale ako prístupový bod. Wireless Network Mode: Mixed zmiešaná podpora štandardov b a g Wireless Network Name: WiFi KT názov siete Wireless Channel: 6-2,437GHz kanál na ktorom budeme vysielať Wireless SSID Broadcast: Enable zapnuté vysielanie SSID Samotné zabezpečenie je v sekcii Wireless Security: Obr. 4.3 Nastavenie Wireless Security 35