LANCOM Systems GmbH

1. LANCOM Systems GmbH Stand: 12.09.2005 Version: 5.0 www.lancom.de

2. Kapitel 16 - Wireless Security

3. Wireless Security Übersicht • ACL (MAC-Adress-Filter (auch zentral über RADIUS)) • Closed Network • WEP-Verschlüsselung • 802.1x / EAP • IPsec over WLAN • WPA/TKIP • 802.11i LANCOM Systems - 16

4. Wireless Security ACL • ACL steht für Access Control List • Zugriff auf das WLAN nur für „bekannte“ WLAN-Clients. • Pflegen einer MAC-Adress-Liste im Access Point. • Pflegen einer MAC-Adress-Liste per RADIUS. LANCOM Systems - 17

5. Wireless Security Closed Network • Kein aktives Kommunizieren der SSID (WLAN Netzwerkname) durch den Access Point. • WLAN kann nicht „gefunden“ werden, z.B. durch „Windows Zero Konfig“. • Kein Zugriff mit SSID „ANY“ möglich. LANCOM Systems - 18

6. Wireless Security Schwächen von ACL und Closed Network • Weder ACL noch Closed Network sind Patentlösung zur Zugangskontrolle. • Die 802.11-Protokoll-Definition sieht vor, dass sowohl die MAC-Adressen als auch die ESS-ID in Daten- oder Management-Frames über die Luft unverschlüsselt übertragen werden. • Mit speziellen Wireless-LAN-Sniffer-Programmen können die Informationen ausgespäht werden und möglicherweise an den Client-Stationen gefälscht werden. LANCOM Systems - 19

7. Wireless Security WEP (Wired Equivalent Privacy) • IEEE 802.11b beschreibt WEP64 (40 Bit). • Die meisten WLAN-Karten unterstützen jedoch auch WEP128 (104 Bit), einige WEP152 (128 Bit). • Symmetrisches Verschlüsselungsverfahren mit statischem PSK (Preshared Key). • Verschlüsselung durch RC4-Algorythmus. • Verwendung eines 24 Bit langen Initial Vector (IV) LANCOM Systems - 20

8. Wireless Security Schema einer WEP-Verschlüsselung Klartext-Daten Nachricht IVC XOR Schlüsselstrom = RC4 (IV/WEP-Schlüssel) IV Verschlüsselte Daten zu übertragendes Datenpaket LANCOM Systems - 21

9. Wireless Security Welchen Schutz bietet WEP? • Die Aufgabe von WEP ist es, eine Sicherheit zu gewährleisten, die mit der Sicherheit von fest verkabelten Netzen vergleichbar ist. • Um eine verschlüsselte Datenkommunikation zu ermöglichen, müssen alle Client-Stationen und Basis-Stationen WEP einsetzen. • Alle Stationen arbeiten mit einem Schlüssel. • Bei aktivierter Verschlüsselung wird das Mithören von Funkübertragungen ohne Kenntnis des Schlüssel unmöglich. LANCOM Systems - 22

10. Wireless Security Schwächen von WEP - IV • Zu kurze Länge des IV (Initial Vector). • Wiederverwendung eines Schlüssels bei WEP mit RC4 alle 16 Millionen Pakete. • Theoretischer Ansatz: In einem 11 Mbit/s-WLAN, bei einer Nettodatenrate von 5 Mbit/s und einer maximalen Paketlänge von 1500 Bytes kommt es zu einer Wiederholung des Schlüssels nach 11 Stunden.  WEP Key errechenbar. • Verwendung von „schwachen IVs“. LANCOM Systems - 23

11. Wireless Security Schwächen von WEP - RC4 • Im Laufe des Jahres 2001 sind verschieden Schwächen von aktuellen WEP-Implementationen aufgedeckt worden. • Im Januar stellte man an der University of California (Berkley) fest, dass WEP anfällig ist für bestimmte passive Attacken basierend auf „known Plaintext“ (Klartext) und „Dictionaries“ (Wörterbuch). LANCOM Systems - 24

12. Wireless Security Schwächen von WEP - RC4 • Zur Verschlüsselung verwendet WEP einen Strom von Pseudozufallszahlen, der mit den zu übertragenen Daten mittels XOR verknüpft wird. • Die Zufallszahlen werden durch den Algorithmus RC4 aus einem geheimen Schlüssel k berechnet. • Aus einem Klartext P wird der verschlüsselte Text C = P XOR RC4(k) berechnet. • Für feste k gilt jedoch C1 XOR C 2 = P 1 XOR P 2 , d.h., man kann mit einem bekannten Paar (P 1 , C 1 ) auch P 2 = (C 1 XOR C 2 ) XOR P 1 berechnen und somit sämtliche Kommunikation entschlüsseln, ohne k zu kennen. LANCOM Systems - 25

13. Wireless Security Schwächen von WEP - RC4 • Um diesen Effekt zu verhindern, sieht WEP zusätzlich den Initialisierungsvektor (IV) vor, der sich bei jedem Datenpaket ändern muss: C = P XOR RC4 (IV, k). • Damit die Gegenseite das Paket wieder entschlüsseln kann, wird der IV dem übertragenen Datenpaket als Klartext hinzugefügt. LANCOM Systems - 26

14. Wireless Security Schwächen von WEP - RC4 • Der IV ist aber nur 24 Bit groß. • Wiederverwendung eines Schlüssels bei WEP mit RC4 alle 16 Millionen Pakete. • Theoretischer Ansatz: In einem 11 Mbit/s-WLAN, bei einer Nettodatenrate von 5 Mbit/s und einer maximalen Paketlänge von 1500 Bytes kommt es zu einer Wiederholung des Schlüssels nach 11 Stunden.  WEP Key errechenbar. LANCOM Systems - 27

15. Wireless Security Schwächen von WEP - Schwache Schlüssel • Bei WEP gibt es eine grossen Menge von schwachen Schlüsseln (weak keys). • Die Ursache dafür liegt vor allem in der unzureichenden Länge des Initialisierungsvektors (IV) und einer Eigenschaft des RC4-Verfahrens, bestimmte Muster in den Codes zu erzeugen. • Bei einer Kryptoanalyse reduzieren solche Muster die Anzahl der zu untersuchenden Schlüssel deutlich. • Verschiedene Cracking-Tools wie z.B. Airsnort und WEPcrack nutzen diese Ergebnisse von Fluhrer, Mantin, Shamir und behaupten von sich, WEPSchlüssel innerhalb weniger Stunden herauszufinden. LANCOM Systems - 28

16. Wireless Security WEPplus • Proprietäre Erweiterung (Agere). • Keine Verwendung von „schwachen IVs“. • Voll kompatibel zum bisherigen WEP. LANCOM Systems - 29

17. Wireless Security Schwächen von WEP - Key-Management • Das vermutlich schwerwiegendste Problem in vielen, insbesondere grossen WLAN-Installationen ist die Schlüsselverteilung oder das Key-Management. • WEP beinhaltet bisher kein Key-Management, die Schlüsselvergabe erfolgt manuell und alle Stationen verwenden denselben Schlüssel. • Die ad-hoc-Lösung dafür bietet das 802.1x-Verfahren. LANCOM Systems - 30

18. Wireless Security 802.1x / EAP • Auf dem Client ist kein fester Schlüssel hinterlegt. • Der Client muss sich an einem RADIUS Server authentifizieren (TLS oder TTLS). • Dynamische Aushandlung der Schlüssel über EAP (Extensible Authentication Protocol) • Regelmäßiger Wechsel des Schlüssels über den EAP Tunnel.  Keine IV-Kollision (Schlüsselwiederholung) LANCOM Systems - 31

19. Wireless Security Sicherheit von IEEE 802.1x/EAP • Der wesentliche Gewinn für die Sicherheit in Wireless LANs durch 802.1x entsteht durch die Kombination des Authentifizierungs-Verfahrens mit der WEP-Verschlüsselung. • Nachdem Client und Netzwerk gegenseitig ihre Echtheit überprüft haben, ist es möglich, den WEP-Schlüssel automatisch zu generieren oder vom Authentication Server zuweisen zu lassen. LANCOM Systems - 36

20. Wireless Security Sicherheit von IEEE 802.1x/EAP • Auch ein regelmäßiger Schlüsselwechsel (Key-Roll-Over, Re-Keying) und eine Re-Authentifizierung nach einer festgelegten Zeit sind möglich. • Passive Attacken auf WEP werden damit erschwert bzw. unmöglich gemacht. • Der Zeitraum zwischen zwei Überprüfungen und Schlüsselwechseln muss dafür hinreichend klein gewählt werden. LANCOM Systems - 37

21. Wireless Security IEEE 802.1x/EAP mit WEP Authenticator Encryption mit WEP128 / WEP152 Authentifizierung mit RADIUS, 802.1x / EAP EAP-over-LAN (EAPOL) Supplicant LANCOM Systems - 38

22. Wireless Security Schema einer IEEE 802.1x/EAP Überprüfung LANCOM Systems - 39

23. Wireless Security IPsec over WLAN • Verschlüsselung der WLAN Kommunikation mit VPN IPsec Technologie. • Einsatz von sicheren Verschlüsselungsalgorithmen wie AES, Blowfish oder 3DES. • IPsec ist eine „bewährte“ und sichere Technologie. • Höherer Konfigurationsaufwand. • Hohe Performance der Geräte erforderlich. LANCOM Systems - 43

24. Wireless SecurityWPA (WiFi Protected Access) • Definition von WPA durch die WiFi-Alliance. • Verschlüsselungsverfahren TKIP und MIC („Michael“) als Ersatz für WEP. • Standardisiertes Handshake-Verfahren zwischen Client und Access Point zur Ermittlung/Übertragung der Sitzungsschlüssel (ohne RADIUS-Server). LANCOM Systems - 44

25. Wireless SecurityTKIP (Temporal Key Integrity Protocol) • TKIP ist eine „Übergangslösung“ auf existierender WEP/RC4-Hardware. • Verschlüsselungsalgorithmus mit RC4 ohne die Nachteile von WEP. • Wesentlich größerer Adressraum des IV (jetzt 48 Bit). • Integritätsprüfung der Datenpakete („Michael“). • Individueller Schlüssel zwischen Client und AP. LANCOM Systems - 45

26. Wireless SecurityIEEE 802.11i • Der neue WLAN Sicherheitsstandard • WPA ein „Vorläufer“ von 802.11i. • Verschlüsselungsverfahren AES-CCM. • Verschlüsselung und Integritätsprüfung mit AES. • Nach IEEE 802.11i muss AES unterstützt werden, TKIP ist optional. LANCOM Systems - 46

27. Wireless SecurityIEEE 802.11i • AES-CCM sollte in Hardware implementiert sein, eine Software-Implementation ist jedoch möglich (mit Performanceeinbußen). • Authentifizierung des Clients am Access Point. • Individueller Schlüssel zwischen Client und AP. • AES genügt dem Federal Information Standard 140-2 LANCOM Systems - 47

28. Wireless SecuritySicherheit im Wireless LAN • Zitat Heise Ticker: „Der nun ratifizierte Standard IEEE 802.11i umfasst alle Fähigkeiten von WPA und ergänzt diese durch die Vorschriften für die Verwendung des Advanced Encryption Standard (AES) zur Verschlüsselung von Daten. Der AES bietet genügend Sicherheit, um die notwendigen Spezifikationen des Federal Information Standards (FIPS) 140-2 einzuhalten, die von vielen staatlichen Stellen gefordert werden.“ LANCOM Systems - 48

29. Wireless SecurityIEEE 802.11i Betriebsarten LANCOM Systems - 49

30. Wireless SecurityIEEE 802.11i - Client to AP Das Authentifizierungs-verfahren: • verschlüsselter Austausch des PSK • Aufbau einer verschlüsselten Verbindung • Verschlüsselung mit Hardware AES (128bit) • Jede Verbindung erhält einen Session Key und ist somit individuell abgesichert Pre-Shared-Key: ******* Pre-Shared-Key: ******* Pre-Shared-Key: ******* ID? LAN / Internet Pre-Shared-Key: ******* LANCOM Systems - 50

31. Wireless SecurityIEEE 802.11i - Client to AP Das Authentifizierungs-verfahren: • verschlüsselter Austausch des PSK • Aufbau einer verschlüsselten Verbindung • Verschlüsselung mit Hardware AES (128bit) • Jede Verbindung erhält einen Session Key und ist somit individuell abgesichert AES / Session Key 1 ID OK! AES / Session Key 2 LAN / Internet AES / Session Key 3 LANCOM Systems - 51

32. Wireless SecurityIEEE 802.11i - Point to Point Gebäudekopplung (Errichtung einer Point-to-Point Strecke) mit 2x AirLancer Extender O-18a im 5 GHz Band: 54 Mbit/s  600 m 6 Mbit/s  8 km Gebäudekopplung mit 2x AirLancer Extender O-30 im 2,4 GHz Band: 54 Mbit/s  180 m 6 Mbit/s  2 km Relaisfunktion zur Weiterverbindung von Funknetzen mit LANCOM Access Points Ausleuchtung von Flächen (Campus, Point-to-Multipoint) mit AirLancer Extender O-70 im 2,4GHz Band: 54 Mbit/s  70 m 6 Mbit/s  840 m LANCOM Systems - 52

33. Wireless SecurityLEPS - LANCOM Enhanced Passphrase Security • Vorteil der Passphrase: • Einfach einzurichten • Nur ein globaler String • Für kleine Netze (z.B. privat) prädestiniert LANCOM Systems - 53

34. Wireless SecurityLEPS - LANCOM Enhanced Passphrase Security • Nachteil der Passphrase: • nur eine Passphrase in der Firma • menschlicher Faktor: die Passphrase verbreitet sich auch an Unbefugte • Sicherheitslücke: Unbefugte nutzen die Passphrase, um in das Netzwerk zu kommen, da die Passphrase nicht mit WLAN-Karte verknüpft ist: Jeder kann sie nutzen! Passphrase LANCOM Systems - 54

35. Wireless SecurityLEPS - LANCOM Enhanced Passphrase Security • LEPS gibt jedem Nutzer eine individuelle Passphrase • Keine Verbreitung über große Nutzergruppen • LEPS verknüpft die Passphrase mit der MAC-Adresse der WLAN-Karte • nur noch von dem Nutzer der WLAN-Karte zu benutzen • Nebeneffekt: MAC-Adress-Spoofing wird verhindert, da jetzt 2 Unbekannte gleichzeitig zu knacken sind: Passphrase und MAC-Adresse • LEPS ist genial einfach: LANCOM Systems - 55

36. Wireless SecurityLEPS - LANCOM Enhanced Passphrase Security • LEPS ist auch mit RADIUS nutzbar. • LEPS ist auch für Point-to-Point Strecken nutzbar • LEPS funktioniert für WPA und AES (802.11i) • LEPS ist kompatibel zu jedem WLAN Client! LANCOM Systems - 56

37. Wireless SecurityLEPS - LANCOM Enhanced Passphrase Security MAC-Adresse 1  Passphrase 1: *******1 Behebt die Schwäche von Passphrases ohne 802.1x aufsetzen zu müssen: • eine individuelle Passphrase pro Client • in Verbindung mit MAC-Adresse unverwechselbar • ‚menschliche Schwächen‘ werden vermieden • Einfache Administration per RADIUS MAC Passphrase 1 ********1 2 ******2** 3 ***3***** MAC-Adresse 2  Passphrase 2: *****2** Key Berechnung MAC-Adresse 3  Passphrase 3: ***3**** Internet Client Authenticated! LANCOM Systems - 57

38. Wireless SecurityLEPS - LANCOM Enhanced Passphrase Security Behebt die Schwäche von Passphrases ohne 802.1x aufsetzen zu müssen: • eine individuelle Passphrase pro Client • in Verbindung mit MAC-Adresse unverwechselbar • ‚menschliche Schwächen‘ werden vermieden • Einfache Administration per RADIUS AES/ Session Key 1 AES/ Session Key 2 Internet AES/ Session Key 3 LANCOM Systems - 58

39. Wireless SecurityDefault WEP für alle Access Points • Verschlüsselung ab Werk • WEP128 Schlüssel • WEP-Key = „L00A057xxxxxx“ • Aufbau: „L“ + „MAC-Adresse“ • Aktiv im Auslieferungszustand oder nach Geräte-Reset • Verhindert Missbrauch • durch Wardriver • versehentlich offenes Netz wird verhindert WEP128 Default Encryption WLAN-Verschlüsselung bereits im Auslieferungszustand! LANCOM Systems - 59

40. Wireless SecuritySicherheit im Wireless LAN LANCOM Systems - 60

41. Wireless SecurityMigration von WEP nach IEEE 802.11i • Umstellung einer laufenden WLAN Infrastruktur auf den neuen Sicherheitsstandard 802.11i. • Aber was ist mit • Client Adaptern nach 802.11b • PDAs ohne WPA Unterstützung • MDE-Geräten (z.B. Barcode-Scanner) • … ? • Die Lösung: WLAN mit Multi-SSID LANCOM Systems - 61

42. Wireless SecurityMigration von WEP nach IEEE 802.11i Bis zu 8 SSIDs pro WLAN-Interface sind möglich. Unterstützt werden kann dieser Aufbau noch durch ein VLAN-Tagging, um die Nutzergruppen der passenden Sicherheitsstufe zuordnen zu können. Höchste Sicherheit durch 802.11i / AES WEP128 Sicherheit, um möglichst viele Clients anzubinden. WPA / TKIP akzeptable Sicherheit bei hoher Performance für Clients ohne AES-Unterstützung. Offenes Netz ohne Verschlüsselung. LANCOM Systems - 62

43. LANCOM Systems - 63