zabezpecenˇ ´ı wi-fi s ´ıt´ıoskar/stah/tib-zabezpeceni-wifi.pdf · ondˇrej caletka (cesnet,...
Post on 24-Jul-2020
3 Views
Preview:
TRANSCRIPT
Zabezpecenı Wi-Fi sıtı
Ondrej Caletka
1. brezna 2012
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 1 / 22
Obsah
1 Bezpecnost infrastrukturySifrovanı
WEPWPAWPS802.1X
Captive portal
2 Bezpecnost klientuOdposlechFalesne sıte
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 2 / 22
Bezpecnost infrastruktury
Zajistenı pred nezadoucım pripojenım:sifrovanıregulace prıstupu na vyssı vrstveostatnı neucinne metody
skrytı ESSID (lze snadno odkryt)seznam povolenych MAC adres (lze zfalsovat)
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 3 / 22
Sifrovanı
Wired Equivalent Privacyvytvoren 1999, prolomen 2001symetricka sifra se sdılenym klıcem
Wi-Fi Protected Accessvytvoren 2002, zavrzeny od roku 2009HW kompatibilnı s WEP
Wi-Fi Protected Access 2vytvoren 2004, povinna podpora od 2006novy protokol CCMP, zalozeny na AESzatım bez znamych slabych mıst
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 4 / 22
Wired Equivalent Privacyproudova sifra RC4klıc delky 64-bitu
po roce 2000 - klıce 128 a 256 bitu24 bitu z klıce tvorı inicializacnı vektor, promenny prokazdy ramec
klíč + IV RC4
seed
0 1 0 1
PRGA stream
1 1 0 0nešifrovaná data
1 0 0 1šifrovaná data
(XOR)
CC-BY-SA Stannered, Wikimedia
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 5 / 22
Slaba mısta WEP
opakovanı IV po 224 ramcıch=⇒ opakovanı PRGA sekvencenenahodny obsah zacatku nesifrovanych dat
Zacatek kazdeho ramce s IPv40xAA 0xAA 0x03 0x00 0x00 0x00 0x08 0x00DSAP SSAP CTRL ORG code ether type
moznost fragmentace na urovni ramcuautentizace sdılenym klıcem
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 6 / 22
Hlavnı utoky na WEP
zjistenı WEP klıce – aircrack-ngIV se prenasejı otevreneje mozne zjistit zacatek PRGA sekvencepo zachycenı cca. 500 000 kombinacı
injekce dat – airreplay-ngznama dvojice IV + cast PRGA, fragmentacebroadcast ramec → AP jej zopakuje s jinym IVumele vyvolanı novych IV pro zjistenı WEP klıce
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 7 / 22
Wi-Fi Protected Accesskazdy ramec ma zcela jiny RC4 seedcıslovanı ramcuhlavnı klıc PTK se pravidelne menıvylepseny kontrolnı kod ramce
PTK RC4 0 1 0 1
PRGA stream
1 1 0 0nešifrovaná data
1 0 0 1šifrovaná data
(XOR)
CC-BY-SA Stannered, Wikimedia
KMF
IV
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 8 / 22
WPA - zıskanı PTK
vyzaduje software v klientovi, tzv. supplicant(prosebnık)preferovany zpusob – 802.1X (dale)zjednoduseny – predsdıleny 256-bitovy klıc
zadatelny jako heslo 8 - 63 znaku4-way handshake, umoznujıcı hadat hesloznalec hesla muze zjistit PTK ostatnıch klientu, tzv.nosey employee
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 9 / 22
Wi-Fi Protected Setup
Lide nejsou ochotni pouzıvat pro WPA-PSKdostatecne silne heslo.Snaha zavest jednoduche a bezpecnenastavenı, zname napr. z DECT, Bluetooth
zadanım PIN – 8 cıslicstisknutım tlacıtka na obou zarızenıchjinymi metodami (NFC, Flash disk)
Na novych zarızenıch standardne zapnuto.
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 10 / 22
Zranitelnost WPS
publikovano v prosinci 2011http://code.google.com/p/reaver-wps/
overenı WPS PIN probıha po polovinachosma cıslice je kontrolnı
(104 + 103) << 107
vetsina AP nema omezenı poctu pokusurychlost hadanı 2 - 30 sekund/pokus
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 11 / 22
IEEE 802.1X
rızenı prıstupu k dratovym a bezdratovym sıtımprovadı prımo prıstupovy bod – AP, switchvyuzıva protokol EAP a RADIUS serveryautentizace pomocı ruznych EAP metod
EAP-TLS – autentizace certifikatemPEAP-MSCHAPv2 – nejcastejsı –– autentizace jmenem a heslem, tunelovano v TLSLEAP – Cisco proprietary, prolomeno – asleap
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 12 / 22
IEEE 802.1X - princip
zdroj: D. Rohleder, V. Lorenc.802.1X - autentizace v počítačových sítích.Zpravodaj ÚVT MU. ISSN 1212-0901, 2008, roč. XIX, č. 1, s. 2-4
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 13 / 22
eduroamWi-Fi roaming zalozeny na 802.1Xprojektu se ucastnı akademicke instituce pocelem sveteclen kterekoli pripojene instituce zıska pripojenıv kterekoli institucioverovanı v domovske organizaci uzivatele,uzivatelske jmeno ve tvaru user@org.tld
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 14 / 22
Captive portal
rızenı prıstupu urovni IP protokolubezdratova sıt’ otevrena, bez sifrovanıpo pripojenı jsou vsechny HTTP pozadavkypresmerovany na mıstnı branuzadanı prihlasovacıch udaju otevreplnohodnotny prıstup
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 15 / 22
Slaba mısta captive portalu
DNS tunelovanı (iodine)http://code.kryo.se/iodine/
odposlechynepohodlneTLS certifikaty, CRL, OCSP Pozn.: Tyka se i 802.1X.
DNSSEC?IP adresa 1.1.1.1 (Cisco)
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 16 / 22
Bezpecnost klientu
OdposlechMan-in-the-middleFalesne sıte
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 17 / 22
Odposlech
trivialnı na nesifrovanem provozusnadny na WEPproveditelny mezi uzivateli WPA(2)-PSKproveditelny mezi uzivateli WPA(2)-802.1Xtzv. WPA2-Hole196
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 18 / 22
Man-in-the-middleutok nejen na sifrovanou komunikacipostup:
1 Utocnık se stane jak klientem, tak AP.2 Donutı klienty k reasociaci na falesne AP.3 Prenası data mezi pravou a falesnou sıtı.
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 19 / 22
Falesne sıte
Vylakanı citlivych udaju:1 Uzivatel ma v seznamu znamych sıtı nejakou
nesifrovanou, periodicky vysıla vyzvy.2 Utocnık vyzvu zachytı a vyrobı pro ni AP.3 Uzivatelske zarızenı se automaticky pripojı do
falesne sıte a zacne prenaset data.4 Utocnık zjistı radu zajımavych skutecnostı i z
charakteru provozu.(Facebook, Google, Twitter, SIP)
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 20 / 22
Zaverecna doporucenı
Nepouzıvejte WEP.Pokud vase zarızenı umı WPA2, pouzıvejte jej.Vypnete WPS!Trvate-li na WPS, pregenerujte PIN tak, aby 1. a 5. cıslice byla ”9“.
Nepouzıvejte captive portal ani pro hosty.Hoste se pohodlneji pripojı do 802.1XVe velkych arealech stacı ”Free WIFI“
Proverte, jak komunikujı vase mobilnı aplikace.Idealne s kontrolou odolnosti proti TLS MitM.
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 21 / 22
Konec
Dekuji za pozornost.
3. – 4. brezna 2012
Ondrej Caletka (CESNET, z.s.p.o.) Zabezpecenı Wi-Fi sıtı 1. brezna 2012 22 / 22
top related