WLAN - Analyse von Sicherheitsarchitekturen

Inhaltsverzeichnis

1 Einleitung
1.1 Motivation
1.2 Zielsetzung der Arbeit
1.3 Gliederung der Arbeit

2 Grundlagen

3 Sicherheitsarchitekturen
3.1 WEP
3.1.1 Sicherheitsmechanismen
3.1.2 Schwachstellen von WEP
3.1.3 Angriffe auf WEP
3.1.4 Verbesserungen
3.2 WPA
3.2.1 Sicherheitsmechanismen
3.2.2 Schwachstellen von WPA
3.2.3 Angriffe auf WPA
3.3 WPA2 (IEEE 802.11i)
3.3.1 Sicherheitsmechanismen
3.3.2 Schwachstellen von WPA2

4 Zusammenfassung und Ausblick

Literatur

1. Einleitung

1.1 Motivation

Drahtlose Kommunikationstechnologien - wie beispielsweise ”WirelessLocalArea Network“ (WLAN), Bluetooth oder Mobilfunknetze - gewinnen seit Ende des20 ten Jahrhunderts immer mehr an Bedeutung. Insbesondere drahtlose Netzwerke (WLAN) des Standards IEEE802.11 [IEEEb] erfreuen sich heutzutage größter Beliebtheit als gemeinsames Zugangsnetzwerk im öffentlich und privaten Bereich. Den vielen Vor- teilen eines solchen WLANs, wie Mobilität und Flexibilität, stehen allerdings auch sicherheitsrelevante Betrachtungen gegenüber. Jedes drahtlose Netzwerk bringt ne- ben den Sicherheitsrisiken eines drahtgebundenen Netzwerkes auch noch Risiken mit sich, die durch Mobilität und den für jedermann, wenn auch bedingten, freien Zu- gang zum geteilten Medium entstehen. Um diese Sicherheitsrisiken zu verringern, und die Privatsphäre der Benutzer zu schützen, wurden verschiedene Sicherheitsar- chitekturen entwickelt [GuZA[06]].

1.2 Zielsetzung der Arbeit

Ziel der vorliegenden Studienarbeit ist es, dem Leser einen Überblick über die bis dato eingesetzten Sicherheitsarchitekturen in WLANs zu geben. Neben einer de- taillierten Beschreibung der jeweils eingesetzten Sicherheitsmechanismen sollen aber auch ausführlich bekannte Schwachstellen und daraus resultierende Angriffe erläu- tert werden.

Der Leser soll somit ein tiefergehendes Verständnis der einzelnen Sicherheitsarchi- tekturen erlangen. Durch die Darstellung der einzelnen Schwachstellen und Angriffs- möglichkeiten soll zudem das Sicherheitsbewußtsein geweckt werden und den Leser dazu bewegen, seine eingesetzte Sicherheitsarchitektur im WLAN zu überdenken.

1.3 Gliederung der Arbeit

Nach diesem einführenden Kapitel werden in Kapitel 2 einige Verfahren dargestellt die im weiteren Verlauf von Bedeutung sind. Da eine ausführliche Betrachtung dieser Verfahren allerdings den Rahmen der vorliegenden Studienarbeit sprengen würde, werden die einzelnen Verfahren nur kurz erläutert. Für ein tiefergehendes Verständnis sei auf die entsprechenden Quellen verwiesen.

Kapitel 3 beschäftigt sich dann ausführlich mit den einzelnen und derzeit einge- setzten Sicherheitsarchitekturen in WLANs. Zuerst wird in Kapitel 3.1 die älteste und bis dato noch am häufigsten eingesetzte WEP-Sicherheitsarchitektur beschrie- ben. Es werden sehr ausführlich die einzelnen Sicherheitsmechanismen, aufgetretene Schwachstellen sowie daraus resultierende Angriffe dargestellt. Abschließend werden dann noch kurz zwei verbesserte Varianten vorgestellt, die einige Schwachstellen in WEP beseitigen. In Kapitel 3.2 folgt dann eine detaillierte Beschreibung der neue- ren WPA-Sicherheitsarchitek-tur und deren Sicherheitsmechanismen sowie einigen theoretischen Schwachstellen. Kapitel 3.3 beschreibt letztendlich noch die WPA2- Sicherheitsarchitektur und deren Sicherheitsmechanismen. Kapitel 4 bildet mit ei- ner kurzen Zusammenfassung und einem Ausblick den Abschluss der vorliegenden Arbeit.

2. Grundlagen

Bevor in Kapitel 3 die Sicherheitsarchitekturen von Netzwerken auf Basis des IEEE 802.11 Standards [IEEEb] (WLAN) genauer beschrieben werden, soll dieses Kapitel zuerst einige Verfahren erläutern, die im nächsten Kapitel von Bedeutung sind. Als erstes sollen die zur Verschlüsselung eingesetzten Chiffren RC4 (in WEP und WPA) und AES (in WPA2) kurz vorgestellt werden. Danach folgen der für die Integritätssicherung in WPA eingesetzte Michael-Algorithmus, sowie die für die Au- thentifizierung in WPA und WPA2 verwendeten Verfahren IEEE 802.1X, EAP und RADIUS.

Rivest Cipher 4 (RC4):

RC4 ist eine symmetrische Stromchiffre und wurde 1987 von Ron Rivest für RSA Security¹ entwickelt. Sie galt lange als Firmengeheimnis, wurde im September 1994 jedoch anonym im Internet beschrieben und somit offen gelegt. Trotz seiner Einfachheit gilt RC4 noch heute als sehr starke Chiffre und wird unter anderem für SSL² und TLS³ Verbindungen eingesetzt, sowie für die WLAN-Sicherheitsarchitekturen WEP (Kapitel 3.1) und WPA (Kapitel 3.2). Dass RC4 unter falscher Verwendung allerdings auch einige Schwachstellen hat zeigt Kapitel 3.1.2.

RC4 erzeugt aus der Eingabe eines bis zu 2048 Bit (256 Byte) langen Schlüssels eine Pseudozufallszahlenfolge die einer echten Zufallsfolge sehr nahe kommt - die Ausgabe erfolgt dabei byteweise. Für seine Berechnungen verwendet RC4 eine Sub- stitutionstabelle S (S-Box) mit 256 Einträgen (S 0 bis S 255), die jeweils eine Länge von 8 Bit haben. Neben der S-Box verwendet RC4 zur Initialisierung noch eine 2048 Bit lange Schlüsseltabelle, die den Eingabeschlüssel enthält - ist der Eingabeschlüs- sel kürzer als 2048 Bit, wird er so oft wiederholt, bis die Tabelle gefüllt ist. Des Weiteren werden zwei 8 Bit große Zählvariablen (i, j) verwendet, die anfangs mit 0 initialisiert sind. Die Ausgabe der Pseudozufallszahlenfolge erfolgt dann in zwei Schritten. Im ersten Schritt erfolgt zuerst die Initialisierung der S-Box, gefolgt von einer Permutation der S-Box Werte - genannt Key Scheduling Algorithm“ (KSA):

Abbildung in dieser Leseprobe nicht enthalten

Für eine detaillierte Beschreibung der Funktionsweise von RC4 sei hier auf [FlMS[01]] verwiesen.

Advanced Encryption Standard (AES):

Der ”AdvancedEncryptionStandard“(AES)isteinesymmetrischeBlockchiffreund wurde1998 von Joan Daemen und Vincent Rijmen entwickelt - sie wird aus diesem Grund auch Rijndael-Algorithmus genannt. Nachdem AES von Kryptologen aus- führlich untersucht wurde, wurde er im Oktober2000 vom ”NationalInstituteof Standards and Technology“ (NIST) zum Standard erhoben und als Nachfolger von ”DataEncryptionStandard“(DES)bekanntgegeben.

Im Gegensatz zu einer Stromchiffre verschlüsselt eine Blockchiffre immer feste Blöcke von Bytes. AES legt eine feste Blocklänge von128 Bit fest, die Schlüssellänge kann allerdings variieren zwischen128,192 oder256 Bit. In [DaRi[01]] beschreiben Joan Daemen und Vincent Rijmen die Funktionsweise sowie mathematischen Grundlagen von AES genauer.

Michael:

Der Michael-Algorithmus basiert auf einer kryptographischen Einweg-Hashfunktion und wurde im Jahr2002 von Niels Ferguson entwickelt. Er wurde geschaffen um Berechnungen von Hash-Summen für das ”TemporalKeyIntegrityProtocol“(TKIP)

(Kapitel 3.2.1) auf der verwendeten alten Hardware effizient durchzuführen. Als Eingabe erhält Michael, neben den Daten selbst, noch Ziel- und Quelladresse der Daten, ein Priority- und ein Padding-Feld sowie zur kryptographischen Sicherung einen sogenannten Michael-Schlüssel. Die letztendliche Ausgabe ist dann eine 64 Bit lange Prüfsumme. Um der Forderung nach effizienter Berechnung auch auf alter Hardware gerecht zu werden, vermeidet Michael rechenintensive Multiplikationen und verwendet lediglich Substitutionen, Rotationen und XOR Operationen.

Details zu der genauen Funktionsweise und eine Referenzimplementierung findet man in dem von Ferguson verfassten Paper WEP“ [Ferg].

IEEE 802.1X, EAP, RADIUS:

Der Standard IEEE802.1 X [IEEEd] stellt ein Framework zur portbasierten Zugangskontrolle ( ”Port-BasedNetworkAccessControl“)dar,undwurdeursprünglich für drahtgebundene Netzwerke entwickelt um Mechanismen zur Authentifizierung, Autorisierung und Schlüsselverteilung bereitzustellen. Das Framework unterscheidet grundsätzlich zwischen drei verschiedenen Rollen: dem Supplicant welcher sich mit dem Netzwerk verbindet und authentifizieren möchte, dem Authentifizierer welcher die Zugangskontrolle ermöglicht und Authentifizierungsanfragen weiterleitet und dem Authentifizierungsserver welcher die Anfragen empfängt, bearbeitet und das Ergebnis an den Authentifizierer zurückschickt.

Um IEEE802.1 X auch in drahtlosen Netzwerken einsetzen zu können, führt der Standard IEEE802.11 i [IEEEa] kleine Änderungen durch. Unter anderem wurde eine Nachrichtenauthentifizierung eingebaut um zu garantieren, dass Supplicant und Authentifizierer vor der Verwendung des Netzwerkes die notwendigen geheimen Schlüssel berechnen und die Verschlüsselung aktivieren. In drahtlosen Netzwerken ist der Supplicant mit dem Client, und der Authentifizierer mit dem Access Point gleichzusetzen. Die Entscheidung ob ein Supplicant sich mit dem Netzwerk verbinden darf und sich somit erfolgreich authentifiziert hat wird von einem Authentifizierungsserver getroffen - dies kann z.B. ein RADIUS-Server sein.

Für die Kommunikation zwischen Supplicant und Authentifizierer, der die Nachrichten an den Authentifizierungsserver weiterleitet, kommt in IEEE802.1 X das Extensible Authentication Protocol (EAP) [IETFb] zum Einsatz. EAP bietet seinerseits ein Framework für den Transport verschiedener höherschichtiger Authentifizierungsmethoden und stellt folgende Nachrichten-Typen zur Verfügung: Request, Response, Success, Failure. Die restlichen ausgetauschten Nachrichten sind abhängig von der gewählten Methode zur Authentifizierung. Als Beispiel seien hier folgende Methoden genannt: EAP-TLS, EAP-TTLS, PEAP, EAP-MD5.

Für die Kommunikation zwischen Authentifizierer und Authentifizierungsserver kann ein weiteres Protokoll zum Einsatz kommen, z.B. Remote Access Dial-In User Service (RADIUS) [IETFa].

Für weitere und detaillierte Beschreibungen der einzelnen Verfahren sei hier aber auf die angegebenen Quellen verwiesen.

3. Sicherheitsarchitekturen

Die in drahtlosen Netzwerken traditionell eingesetzte, und 1999 in dem Standard IEEE 802.11b [IEEEc] entwickelte Sicherheitsarchitektur ist ”WiredEquivalentPri- vacy“ (WEP). Kryptoanalysten fanden jedoch recht bald schwerwiegende Sicher- heitslücken, woraufhin WEP im Jahre2003 durch und letztendlich2004 durch ”Wi-FiProtectedAccess“(WPA) ”Wi-FiProtectedAccess2 “(WPA2 )-basierendaufdem Standard IEEE802.11 i [IEEEa] - verdrängt wurde.

Ziel von diesem Kapitel ist es, die einzelnen Sicherheitsarchitekturen ausführlich zu analysieren. Es sollen dabei die jeweils eingesetzten Sicherheitsmechanismen, die aufgetretenen Schwachstellen und Sicherheitsrisiken sowie die daraus resultierenden Angriffe gegen die einzelnen Architekturen genau beschrieben werden.

3.1 WEP

Die Sicherheitsarchitektur WEP ist optionaler Standard in 802.11b Netzen [IEEEc] und steht dabei für ”WiredEquivalentPrivacy“.WiederNameschondeutlichmacht, wurde sie entwickelt um in drahtlosen Netzwerken, genannt ”WirelessLocalArea Network“ (WLAN), den gleichen Schutz der Kommunikation zu bieten wie in drahtgebundenen Netzen, genannt ”LocalAreaNetwork“(LAN).UmdiesemZielgerecht zu werden, deckt WEP die sicherheitsrelevanten Bereiche Vertraulichkeit, Dateninte- grität sowie Zugangskontrolle mit Hilfe der Sicherheitsmechanismen Verschlüsselung, Integritätssicherung und Authentifizierung ab. Es wurde allerdings sehr schnell deut- lich, dass WEP von Anfang an mit Problemen zu kämpfen hatte. Die große Anzahl an Sicherheitslücken, Schwächen im Entwurf und allgemeinen Problemen im Schlüs- selmanagement führten bereits im Jahre2001 [FlMS[01]] dazu, dass WEP endgültig gebrochen wurde und kennzeichnen diese Sicherheitsarchitektur somit als unzurei- chend zur Sicherung der drahtlosen Kommunikation [Earl[06]]. Trotz aller Kritik an den Entwicklern von WEP, muss hier allerdings auch gesagt werden, dass WEP nie den Anspruch erhob absolut sicher zu sein. Vielmehr sollte es einem Angreifer schwerer gemacht werden in ein drahtloses Netzwerk einzudringen - vergleichbar mit dem Eindringen in ein Gebäude um sich mit einem drahtgebundenen Netzwerk zu verbinden, was jedoch nicht unmöglich ist [EdAr[04]]. Neben all den Schwächen und Kritikpunkten ist es dennoch wichtig diese Sicherheitsarchitektur zu verstehen, da sie immerhin noch ein Mindestmaß an Schutz bietet und selbst noch heute weit verbreitet und in aktueller Hardware implementiert ist [Dörh06].

Dieser Abschnitt beschreibt zuerst die von WEP eingesetzten Sicherheitsmechanismen, und geht dann auf dessen Schwachstellen ein sowie die daraus resultierenden Angriffe. Letztendlich werden noch einige Verbesserungen von WEP beschrieben, die einige der aufgeführten Schwachstellen beseitigen.

3.1.1 Sicherheitsmechanismen

WEP verfolgt zum Schutz der drahtlosen Kommunikation drei wesentliche und wichtige Ziele, auf denen in Netzwerken der Hauptfokus bezüglich Sicherheit liegt: Vertraulichkeit, Datenintegrität und Zugangskontrolle.

Um das Ziel Vertraulichkeit zu garantieren, verschlüsselt WEP jedes über das draht- lose Medium versendete Paket mit Hilfe der symmetrischen Stromchiffre RC4 (siehe Kapitel 2). Somit können nicht berechtigte Personen die abgehörten Pakete weder entschlüsseln noch lesen. In Verbindung mit einer ”SharedKey“Authentifizierung wird durch diesen Chiffrieralgorithmus ebenfalls das Ziel der Zugangskontrolle er- reicht [Brow[04]]. Heutige IEEE802.11 b [IEEEc] konforme Hardware bietet zudem die Möglichkeit, Pakete zu verwerfen, die nicht regelkonform mit WEP verschlüs- selt wurden. Theoretisch soll diese Möglichkeit unbefugte Personen daran hindern, Pakete über das drahtlose Netzwerk zu übertragen [FJLB[07]]. Das letzte Ziel - Da- tenintegrität - versucht WEP durch berechnen einer Prüfsumme über die Nutzdaten zu garantieren.

Integritätssicherung:

Durch den Mechanismus der Integritätssicherung versucht WEP das Ziel der Da- tenintegrität zu sichern. Wie später im Ver- und Entschlüsselungsprozess zu sehen, ist die Integritätssicherung Bestandteil dessen. Bevor die Verschlüsselung eines Pa- ketes erfolgt, wird über dessen Nutzdaten eine32 Bit lange Prüfsumme berechnet - genannt ”IntegrityCheckValue“(ICV)[EdAr[04]].DerICVversuchtdabeizuga- rantieren, dass die Nutzdaten während der Übertragung nicht geändert und somit nicht verfälscht wurden [Gast05].

Für die Berechnung des ICV kommt hier ein linearer CRC-32 ( ”CyclicRedundan- cy Check“) zum Einsatz. Dieses Verfahren findet häufige Anwendung in Netzwerk- protokollen - jedoch nur zur Absicherung gegenüber zufälligen Übertragungsfehlern [HaCh[05]]. Damit diese somit völlig unzureichende Integritätssicherung dennoch ein- gesetzt werden kann, erfolgt die Berechnung der Prüfsumme deshalb bereits vor der Verschlüsselung [Hage[03]]. Der berechnete ICV wird einfach an die Nutzdaten ange- hängt und zusammen mit diesen mittels XOR bitweise mit dem vom RC4 generierten Schlüsselstrom verknüpft und somit verschlüsselt [Brow[04]]. Auf Empfängerseite wird nach erfolgreicher Entschlüsselung des empfangenen Paketes dann erneut ein ICV über die Nutzdaten berechnet und mit dem im Paket empfangen ICV verglichen. Stimmen beiden 32 Bit Werte überein, wird davon ausgegangen, dass die empfange- nen auch den gesendeten Nutzdaten entsprechen und somit nicht verfälscht wurden. Falls die beiden ICV jedoch nicht übereinstimmen (Integritätsverletzung), hat ent- weder ein aktiver Angriff die Nutzdaten verfälscht, oder ein Übertragungsfehler ist aufgetreten - das Paket wird dann verworfen [Vacc06].

Verschlüsselung:

Das in der Sicherheitsarchitektur WEP eingesetzte Verfahren zur Verschlüsselung von Daten basiert auf der symmetrischen Stromchiffre RC4 (siehe Kapitel 2). Aufga- be dessen ist es, die gesamten Nutzdaten eines einzelnen Paketes inklusive einer zuvor berechneten Prüfsumme - genannt ”IntegrityCheckValue“(ICV)-zuverschlüsseln und somit das Ziel der Vertraulichkeit zu garantieren [ChBh[05]]. Dies geschieht dabei allerdings nur zwischen Client Station und Access Point. Nach Entschlüsselung der Daten durch den Access Point werden diese im drahtgebundenen Medium wieder unverschlüsselt weiter übertragen [Hofh[05]].

Um Daten zu ver- und entschlüsseln müssen die miteinander kommunizierenden Sei- ten zu Beginn der Kommunikation einen geheimen Schlüssel austauschen¹. Es können dabei bis zu vier verschiedene Schlüssel ausgetauscht und verwendet werden. Wel- cher dieser vier Schlüssel für die jeweilige Übertragung verwendet wird, wird von 2 Bits im unverschlüsselten Header (Key ID) des Paketes gekennzeichnet [EdAr04].Jeder ”SharedKey“mussdabeilautIEEE[802].[11]Standard[IEEEb]eineLängevon[40] Bit haben. Üblicherweise wird heute allerdings eine Länge von [104] Bit verwendet um das Sicherheitsniveau zu erhöhen. RC[4] erzeugt aus einer bestimmten Eingabe einen paketabhängigen Schlüsselstrom (”OneTimePad“),derderLängederzu verschlüsselnden Daten entspricht [ChBh[05]]. Zur Verschlüsselung wird dieser dann bitweise mittels XOR (exklusives Oder) mit den Nutzdaten (inklusive Prüfsumme) verknüpft. Wäre nun der”SharedKey“alleinigeEingabeinRC[4],würdeRC[4]immer wieder neu mit demselben Wert initialisiert werden und für jedes zu übertragende Paket der selbe Schlüsselstrom entstehen. Dies würde dazu führen, dass bei identischen Chiffretexten auch die verschlüsselten Daten selbst identisch sein müssten. Ein Angreifer würde hierdurch ungewollte Informationen erhalten, die dazu führen könnten, dass der Schlüssel gebrochen wird. Um dem entgegen zu wirken, wird ein [24] Bit langer Initialisierungsvektor (IV) dem ”SharedKey“vorangestellt,unddientmit ihm zusammen als Eingabe in RC[4]. Der Wert des Initialisierungsvektors ändert sich dabei für jedes zu übertragende Paket [IEEEc]. Hierdurch wird RC[4] immer wieder mit einem neuen Wert (IV +”SharedKey“)initialisiertundgeneriertjedesmaleinen neuen Schlüsselstrom. In welcher Art und Weise sich der Wert des IV dabei ändert, ist allerdings von der Implementierung des jeweiligen Herstellers abhängig und nicht näher im Standard spezifiziert [Earl[06]]. Da nun der IV auch dem Empfänger der Daten zum entschlüsseln bekannt sein muss, wird dieser im unverschlüsselten Teil des Paketes mit übertragen [Hofh[05]]².

Der gesamte Ablauf von WEP wird in Abbildung 3.1 dargestellt. Für jedes zu über- tragende Paket wird ein neuer Initialisierungsvektor (IV) erzeugt. Aus IV und an- gehängtem”SharedKey“wirdvonRC[4]danneinpaketabhängigerSchlüsselstromerzeugt, dessen Länge der Länge der zu verschlüsselnden Daten entspricht. Dieser Schlüsselstrom wird bitweise mittels XOR mit den Nutzdaten, inklusive der vorher darüber berechneten Prüfsumme, verknüpft und somit verschlüsselt [ChBh[05]].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3.1: WEP - Gesamtablauf

Wenn auf der Gegenseite nun ein Paket mit verschlüsselten Nutzdaten eintrifft, er- kennbar durch ein spezielles WEP-Bit im unverschlüsselten Header des Paketes, werden der im Klartext übertragene IV sowie die Nummer des verwendeten Key“ (Key ID) ausgelesen [EdAr04]. IV und entsprechender ”Shared ”SharedKey“dienen nun wieder als Eingabe in RC4 um den selben, wie zur Verschlüsselung erzeugten, Schlüsselstroms zu generieren. Der verschlüsselte Teil des Paketes wird dann bitwei- se mittels XOR mit dem Schlüsselstrom verknüpft, und somit wieder entschlüsselt [BoMo[04]].

Der ganze Prozess lässt sich mathematisch folgendermaßen formulieren:

Abbildung in dieser Leseprobe nicht enthalten

Verschlüsselungsvorgang:

Abbildung in dieser Leseprobe nicht enthalten

Entschlüsselungsvorgang:

Abbildung in dieser Leseprobe nicht enthalten

Hierbei sind IV der 24 Bit lange Initialisierungsvektor, K der gemeinsame 40/104 Bit lange Schlüssel ( ”SharedKey“), KS dervonRC4 erzeugteSchlüsselstromaus der Eingabe (IV ∥ K), M die zu sendenden Nutzdaten im Klartext, ICV die darüber gebildete 32 Bit lange Prüfsumme und C letztendlich das über das drahtlose Medium übertragene Chiffrat [HaCh05].

[...]

¹ http://www.rsa.com/

² Secure Sockets Layer

³ Transport Layer Security

¹ Wie genau dieser Schlüsselaustausch stattfindet, wird allerdings nicht näher spezifiziert.

² Viele Hersteller sprechen bei WEP auch von einer Schlüssellänge von 64 bzw. 128 Bit, was auf den zusätzlichen Initialisierungsvektor zurückzuführen ist. Dies ist aus sicherheitstechnischer Sicht allerdings falsch, weil die zusätzlichen 24 Bit unverschlüsselt über das drahtlose Medium übertragen werden [HaCh05].