RSN

Pełna obsługa RSN w wersji roboczej WPA2 i 802.11i w standardzie WPA jest niezbędny do zapewnienia poufności i integralności sieci bezprzewodowej. Aby wdrożyć RSN, wystarczy dowolny punkt dostępowy, który może przeprowadzić uwierzytelnianie 802.1X. Obsługa 802.1X w punkcie dostępowym to zwykle tylko kwestia zrozumienia protokołu EAPoL i zaakceptowania serwera RADIUS jako parametru konfiguracyjnego. AP nie musi być konfigurowany dla żadnego konkretnego typu EAP, ponieważ ten aspekt sieci jest całkowicie przezroczysty dla AP. W typowym środowisku bezprzewodowym działają dwie podstawowe funkcje zarządzania: zarządzanie uwierzytelnianiem użytkownika i zarządzanie kluczami do szyfrowania, początkowy materiał klucza i dystrybucja kluczy. W implementacji innej niż korporacyjna można łączyć funkcje zarządzania użytkownikami i kluczami. Fakt, że klient posiada poprawny klucz wstępny, uwierzytelnia go w punkcie dostępowym, a bity, które tworzą klucz wstępny, mogą być użyte w procesie szyfrowania w celu uzyskania parami kluczy przejściowych do szyfrowania ładunku 802.11.

Ulepszenia

Kontrola dostępu przewodowego pozostała stosunkowo stabilna wraz z pojawieniem się uwierzytelniania opartego na portach 802.1X, które jest obecnie standardem w większości nowoczesnych przełączników. Uwierzytelnianie oparte na portach 802.1X to zasadniczo ta sama funkcja uwierzytelniania, która jest wypiekana w standardzie zabezpieczeń WPA i połączona z protokołem TemporalKey Integrity Protocol (TKIP). WPA2 opiera się na protokole WPA, dodając jeszcze silniejsze szyfrowanie, które wymaga dedykowanego sprzętu do szyfrowania AES. Standard przewodowy 802.1X jest w pełni zaimplementowany w WPA i WPA2, ale zależy od konfiguracji, czy jest wykorzystywany, np. WPA-Personal, który wykorzystuje klucz wstępny, lub WPA-Enterprise, który korzysta z centralnego repozytorium uwierzytelniania.

Zastosowanie łączności bezprzewodowej do łączności z punktami końcowymi może zapewnić bezpieczeństwo, które może konkurować z tradycyjną architekturą przewodową dzięki łatwości administrowania i zarządzania środowiskiem punktów dostępowych klienta uproszczonego oraz dławikami sieci w celu monitorowania w bliskiej odległości od klientów inicjujących na najbardziej zewnętrznej krawędzi sieć.

KONTROLE ŁAGODZĄCE

W tej sekcji przedstawiono techniczne środki kontroli ryzyka klasy korporacyjnej, które należy oceniać w każdym rozwiązaniu bezprzewodowym, niezależnie od implementacji konkretnego dostawcy. . Te kontrolki odpowiadają na omówione wcześniej podstawowe problemy związane z bezpieczeństwem sieci bezprzewodowej i zapewniają warstwową ochronę w ramach bezpiecznego projektowania przedsiębiorstwa.

MS-CHAP-v2 — Dziel i zwyciężaj

 

Implementacje EAP wykorzystujące protokół MS-CHAP-v2 zostały już omówione jako podatne na ataki słownikowe przy użyciu protokołu EAP-LEAP lub EAP-PEAP-MSCHAP ze słabymi konfiguracjami suplikantów. Tradycyjnie jedynym możliwym podejściem do wykorzystania tej luki był proces łamania funkcji hash challenge-response, w którym programowi łamanemu dostarcza się hash challenge-response wraz ze słownikiem. Dzięki badaniom Moxie Marlinspike (również autora SSLStrip), proces ten został ostatnio przyspieszony dzięki nowemu zrozumieniu pozornie oczywistej i często pomijanej funkcjonalności protokołu MS-CHAP-v2. Podczas MSCHAP-v2 hash MD4 hasła użytkownika jest dzielony bitowo w celu utworzenia trzech oddzielnych kluczy DES (po siedem bajtów każdy). Typowe narzędzie do testowania penetracji, takie jak Asleep, wprowadzi hash MD4, podzieli go na trzy klucze DES i użyje tych kluczy do zaszyfrowania danej wartości słownika tekstu jawnego w celu porównania z oryginalnym hashem tekstu zaszyfrowanego. Tradycyjne podejście do pękania skutkowałoby całkowitą przestrzenią kluczy wynoszącą 2 (56 + 56 + 56) lub około 1050 – bardzo dużą liczbę, która jest niewykonalna w przypadku stopniowego pękania metodą brute-force. To jest dokładnie powód, dla którego słowniki były tradycyjnie używane jako podejście „najlepsze zgadywanie”, ponieważ przyrostowe (znak po znaku) brutalne wymuszanie po prostu nie jest opcją przez jakikolwiek rozsądny czas ze względu na solenie słowników za pomocą wyzwanie. Użycie trzech kluczy DES to podstawa eksploatacji. MD4hash ma tylko 16 bajtów, podczas gdy trzy siedmiobajtowe klucze DES dają nam w sumie 21 bajtów. Jak powstała różnica? Dopełnienie, które zmniejsza efektywną długość trzeciego klucza DES do dwóch bajtów. Jeśli każdy z dwóch siedmiobajtowych i pojedynczych kluczy dwubajtowych zostanie złamany indywidualnie, efektywna przestrzeń kluczy zostanie zmniejszona do 256 +256 +216 lub około 1017-zmniejszenie w przestrzeni kluczy o współczynnik 1032. Ciekawa część dotycząca MS- CHAP-v2routine polega na tym, że każdy klucz DES jest używany do szyfrowania tego samego tekstu jawnego; dlatego podczas procesu łamania możemy użyć tego samego klucza wejściowego dla każdej z dwóch funkcji DES, skutecznie zmniejszając liczbę funkcji DES dla każdej iteracji do jednej, pozostawiając jedyną podwójną operację, jaką jest porównanie wyjścia DES z każdą z dwa wcześniej ustalone szyfrogramy. Jest to ostateczna efektywna przestrzeń kluczy wynosząca 256 (1016), która w 1998 r. mogła zostać złamana średnio w 4,5 dnia, a w przypadku masowo równoległych architektur dostępnych komercyjnie na początku 2010 r. średnio w około pół dnia. Narzędzia używane do łamania MS -CHAP-v2:

* Airmon-ng: do przechwytywania materiału klucza MS-CHAP-v2 podczas procesu challenge-response.

* Aireplay-ng-0: Służy do dezaktywacji połączonego klienta MS-CHAP-v2.

* Chapcrack.py: Używany do analizowania/wyodrębniania materiału klucza z uzgadniania MS-CHAP-v2.

* Super Computer: Przyspieszona sprzętowo maszyna do łamania zabezpieczeń zaprojektowana do łamania pojedynczej procedury DES (dostępna za pośrednictwem usług w chmurze).

WPA/WPA2: Wi-Fi Protected Setup (WPS).

Wi-Fi Protected Setup pozwala użytkownikom, którzy nie rozumieją konfiguracji zabezpieczeń bezprzewodowych, na łatwe skonfigurowanie wstępnie udostępnionej konfiguracji klucza bez konieczności logowania się do routera. WPS opisuje protokół i sekwencję osobistego numeru identyfikacyjnego (PIN) używaną do negocjowania klucza wstępnego WPA/WPA2 bez konieczności ręcznego konfigurowania go na kliencie i punkcie dostępowym. WPS jest dostępny tylko w punktach dostępowych klasy SOHO, a nie na sprzęcie klasy korporacyjnej. Ta luka może dotyczyć środowiska przedsiębiorstwa, ponieważ istnieje jako niezłośliwy, nieuczciwy punkt dostępu, który użytkownik wewnętrzny bezpiecznie skonfigurował, ale jest podatny na WPS. Istnieją dwa rodzaje WPS:

* Połączenie za pomocą przycisku (PBC)

* 8-cyfrowy kod PIN

Numer PIN może być dostarczony przez punkt dostępowy do wprowadzenia do agenta WPS klienta lub agent WPS klienta może dostarczyć numer PIN do wprowadzenia do monitu WPS punktu dostępowego. Uwierzytelnianie WPS opiera się na 802.1X EAP i implementacji EAP specyficznej dla dostawcy, która wykorzystuje wymianę kluczy Diffie-Hellman do udowodnienia posiadania pierwszej połowy kodu PIN między punktem dostępowym a klientem, a ostatecznie drugiej połowy. Ponieważ WPS dzieli kod PIN na dwa oddzielne etapy uwierzytelniania, proces ten poważnie ogranicza liczbę kombinacji dla każdej połowy kodu PIN. Atakujący może uzyskać pierwszą i drugą część kodu PIN poprzez nadużycie komunikatu EAP „EAP-NACK”. Ten komunikat jest wysyłany przez punkt dostępowy w przypadku niedostarczenia prawidłowej pierwszej lub drugiej części kodu PIN. Brutalne wymuszanie każdej oddzielnej części kodu PIN wymaga najwyżej 104 prób, więc istnieją tylko 104 + 104 = 20 000 możliwych kombinacji zamiast oryginalnej przestrzeni kluczy wynoszącej 108 lub 1 000 000 000.32 Średnio narzędzia do łamania WPS mogą odzyskać tekst jawny WPA/WPA2 hasło za 4–10 godzin. Narzędzia używane do wykonania ataku WPS:

* Airmon-ng: Aby wykryć docelowy AP i umieścić adapter w trybie monitora.

* Reaver33: Brute zmusza proces WPS EAP do odzyskania klucza WPA/WPA2.

* Wpscrack.py34: alternatywne narzędzie do brutalnego wymuszenia procesu WPS EAP w celu odzyskania klucza WPA/WPA2.

Klucz WPA/WPA2

Hash Capture i pękanie. Proces uwierzytelniania z kluczem wstępnym WPA/WPA2 to seria uścisków dłoni używanych do ostatecznego przesłania skróu hasła do punktu dostępowego. Ten proces można przechwycić w trybie monitorowania i wykorzystać do wyodrębnienia zaszyfrowanego hasła. Ponieważ proces ten występuje tylko wtedy, gdy klienci są początkowo uwierzytelniani w punkcie dostępowym, osoba atakująca może albo poczekać na nowego klienta, albo przeprowadzić deautentyfikację istniejącego klienta przez fałszowanie ramek zarządzania, jak opisano wcześniej w tym rozdziale. Po uzyskaniu skrótu WPA atakujący może spróbować go złamać przy użyciu brutalnej siły. Ze względu na solenie haszyszu identyfikatorem SSID AP, tablice tęczowe nie mogą być używane do wspomagania procesu pękania. Użycie solonego skrótu w połączeniu z długim procesem mieszania powoduje powolne łamanie skrótów WPA w systemach opartych na procesorach. Wyczerpujący atak słownikowy na system oparty na procesorze może zazwyczaj przetworzyć od 5 000 do 15 000 par głównych kluczy na sekundę. Systemy łamania oparte na GPU stają się coraz bardziej popularne, ponieważ interfejsy programistyczne, takie jak CUDA firmy Nvidia, otworzyły deweloperom drzwi do dostępu do wielu komponentów GPU, które normalnie wymagałyby zaawansowanego doświadczenia programistycznego. GPU można wykorzystać do znacznego zwiększenia prawdopodobieństwa pomyślnego złamania przechwyconego uzgadniania WPA do ponad 50 000 par kluczy głównych na sekundę dla przeciętnego zestawu kart graficznych GPU obsługujących CUDA. Narzędzia używane do przechwytywania i łamania klucza wstępnego WPA/WPA2:

* Airmon-ng31: Służy do przełączania adaptera bezprzewodowego w tryb monitora.

* Airodump-ng: Służy do przechwytywania ruchu w trybie monitorowania.

* Aireplay-ng-0: dezaktywuje klienta z punktu dostępowego i zmusza go do ponownego uwierzytelnienia i wykonania wstępnego uzgadniania klucza współdzielonego. To narzędzie jest niezbędne, aby umożliwić Airodump-ng przechwycenie klucza wstępnego podczas procesu ponownego uwierzytelniania.

Wstępnie udostępniony klucz WPA/WPA2

WPA, a później WPA2 miały na celu usunięcie wielu niedociągnięć w postępach WEP i WEP. Oto wektory ataków i mechanizmy kontroli mitygacji zaimplementowane w standardzie WPA:

* 48-bitowe wektory inicjujące: rozwiązuje 24-bitową lukę WEP i słabą implementację RC4 poprzez użycie TKIP/CCMP w celu znacznego zmniejszenia ponownego użycia IV i poprawy możliwości „zaszczepiania” funkcji szyfrowania.

* Zarządzanie kluczami: TKIP i CCMP/AES zapewniają unikatowe klucze szyfrowania na klatkę, w przeciwieństwie do przechowywania starych kluczy WEP wśród suplikantów klienta i polegania na IV jako głównym czynniku różnicującym. WPA/WPA2 obsługuje również natywnie zarówno PSK, jak i mechanizmy uwierzytelniania oparte na przedsiębiorstwach do zarządzania kluczami uwierzytelniania innych firm (np. Katalog LDAP).

* Długość klucza: WPA/WPA2 zapewniają minimalną długość 256-bitowego klucza współdzielonego.

* Message Integrity Code: WPA prawidłowo zapewnia integralność wiadomości poprzez mechanizm mieszający znany jako MIC lub Message Integrity Code. Jest to przeciwieństwo wartości kontroli integralności (ICV) WEP, która składa się z zaszyfrowanej kontroli błędów CRC-32. ICV WEP jest nękany przez ataki z przerzucaniem bitów z powodu jego nieprawidłowego użycia jako mechanizmu integralności pomimo zamierzonego użycia CRC-32 jako mechanizmu wykrywania błędów transmisji

* Wzajemne uwierzytelnianie: WPA/WPA2 umożliwia uwierzytelnianie punktu dostępowego przez klienta za pomocą certyfikatów i RSN.

Podstawowa luka, która nęka WPA/WPA2 niekoniecznie jest luką w implementacji, ale atrybutem niezbędnego 4-way handshake process (EAPoL) do podstawowego uwierzytelniania klucza wstępnego. PSK nie jest przeznaczony do użytku korporacyjnego (ale mimo to znajduje się w przedsiębiorstwie), dlatego w ramach WPA/WPA2 istnieją rozwiązania eliminujące tę lukę na poziomie przedsiębiorstwa, ale nie na poziomie SOHO. Uwierzytelnianie za pomocą klucza wstępnego jest powszechnie używane w przypadku braku katalogu zaplecza normalnie dostępny przez protokoły RADIUS i LDAP. Ten rodzaj implementacji jest powszechny dla rozwiązań, które nie są przeznaczone dla szerokiej gamy klientów i dlatego koszt wdrożenia takiego rozwiązania jest nieopłacalny. Uwierzytelnianie z kluczem współdzielonym opiera się na pozapasmowym systemie zarządzania kluczami. WPA-PSK i WPA2-PSK nie zapewniają zarządzania kluczami ani tunelowego szyfrowania procesu uzgadniania uwierzytelniania z kluczem wstępnym. Procedura skrótu hasła używana przez WPA/WPA2 łączy zapisane hasło z solą identyfikatora SSID docelowego punktu dostępowego i przesyła je w postaci zwykłego tekstu. Poleganie na jednym atrybucie kontroli dostępu oznacza, że ​​każdy klient jest nieodróżnialny od następnego i nie można przyznać żadnej odpowiedzialności każdemu użytkownikowi poza dziennikiem adresów MAC DHCP

(WEP) .Zarządzanie kluczami

WEP nie zapewnia żadnej formy zarządzania kluczami, takiej jak możliwość rotacji kluczy z klientami. Rezultatem braku struktury zarządzania kluczami jest ponowne wykorzystanie przestarzałych kluczy jako danych wejściowych do planowania kluczy i podstawowego procesu szyfrowania przez dłuższy czas, co dodatkowo potęguje wspomnianą wcześniej powtarzającą się lukę IV. WPA i WPA2 zapewniają oparte na sesji zarządzanie kluczami poprzez implementację TKIP (WPA), a później CCMP/AES (WPA2). Należy podkreślić, że klucz tajny w implementacji klucza wstępnego (WPA/WPA2-PSK) jest tak naprawdę wykorzystywany tylko do uwierzytelniania; szyfrowanie pochodzi od klienta i punktu dostępowego posiadających ten sam klucz, ale klucz wstępny nie jest bezpośrednio zaangażowany. Jest to przeciwieństwo używania klucza wstępnego przez WEP bezpośrednio w procesie szyfrowania poprzez wykorzystanie go do uwierzytelniania i włączenie go do szyfru strumieniowego RC4. Dzięki wykorzystaniu EAP i RADIUS edycje WPA i WPA2 Enterprise w pełni obsługują zarządzanie kluczami poprzez struktury oparte na katalogach. Te katalogi zarządzają kluczami uwierzytelniania poza implementacją WPA/WPA2 i zwiększają bezpieczeństwo dzięki połączeniu zarządzania kluczami uwierzytelniania opartego na katalogach (LDAP/Active Directory) i zarządzanie kluczami szyfrowania TKIP/CCMP. Narzędzia wykorzystywane do wykorzystywania luk WEP:

* Airmon-ng30: Służy do przełączania adaptera bezprzewodowego w tryb monitora.

* Airodump-ng: Służy do przechwytywania WEP IV w trybie monitora.

* Aireplay-ng-1: Fałszywe uwierzytelnianie do AP; pozwoli to na powiązanie z punktem dostępowym, ale nie będzie kontynuowania procesu uwierzytelniania. Jest to konieczne, aby punkt dostępu odbierał dane z karty sieci bezprzewodowej.

* Aireplay-ng-3: tryb ataku z odtworzeniem żądania ARP, będzie nasłuchiwał zaszyfrowanych bezpłatnych pakietów ARP wysyłanych przez legalnego podłączonego klienta. Ten tryb identyfikuje pakiety ARP według rozmiaru i innych czynników, mimo że są zaszyfrowane. Po znalezieniu pakietu ARP, Aireplay przewróci bity i zamieni go w żądanie, na które odpowiedź zostanie udzielona tysiące razy. Celem tego jest wygenerowanie wielu zaszyfrowanych pakietów od ofiary i rozpoczęcie wyczerpywania przestrzeni IV.

* Aircrack-ng-b: Wykonuje analizę statystyczną i brutalną siłę przechwyconego ruchu WEP w celu odzyskania klucza. Proces polega na użyciu analizy statystycznej, aby określić potencjalne wartości bajtów w każdej lokalizacji klucza, a następnie użyć brutalnej siły, aby zakończyć proces.

(WEP) Powtarzające się wektory inicjujące (IV).

WEP zawiera wiele luk w zabezpieczeniach, w tym FMS, KoreK, PTW i ChopChop. Zamierzamy omówić tylko najbardziej znany i oryginalny atak, zwany FMS. WEP odeszło wieki temu na rzecz alternatywnych technologii; w związku z tym zagłębimy się w szczegóły tej luki tylko po to, aby rzucić światło na postępy, które poczyniono od czasu jej odkrycia. Podstawowe szyfrowanie WEP obraca się wokół szyfru strumieniowego RC4. Inicjalizacja wektora (IV) służy do zapewnienia, że ​​dwa identyczne dane wejściowe nie dadzą w wyniku tego samego wyniku zaszyfrowanego tekstu. IV służy do wydłużenia żywotności klucza poprzez unikatowe generowanie IV dla każdej klatki. Klucze WEP występują w dwóch formach, w zależności od wersji, 40-bitowe efektywne (64, w tym IV), a niektóre implementacje sięgają tak samo jak efektywne 104 bity (128 w tym IV) WEP używa 24-bitowego IV, który w obciążonej sieci jest 50-procentowym prawdopodobieństwem, że IV powtórzy się po 5000 pakietów. Podstawowym rozwiązaniem problemu podatności na szeregowanie kluczy WEP IV jest użycie kluczy sesji ustanowionych na początku uwierzytelniania i szyfrowania, które są używane przez określony czas podczas sesji szyfrowania. Proces używany do wyprowadzania klucza tymczasowego lub sesyjnego ma kluczowe znaczenie dla powodzenia procesu planowania kluczy. WEP cierpiał z powodu połączenia wyjścia RC4 z IV i został ulepszony dzięki „mieszaniu” tych wartości przez TKIP przed RC4. Jeśli można ustanowić funkcję planowania i zarządzania kluczem stałym, sama procedura szyfrowania będzie działać zgodnie z oczekiwaniami. Ataki, których celem są luki w kluczowym procesie planowania WEP, obejmują słynny atak FMS, nazwany na cześć wynalazców Fluhrera, Mantina i Shamira.

WEP

Pomimo publicznego i długiego ujawniania luk w zabezpieczeniach WEP i niewielkiego poziomu bezpieczeństwa, jaki faktycznie zapewnia, jego szerokie zastosowanie na poziomie przedsiębiorstwa jest szokujące, ale zwykle nieznane ze względu na jego wykorzystanie w wielu małych szczelinach firmy, które mogły się zaklinować wiele lat temu. WEP powstał w czasach, gdy moc obliczeniowa, aw szczególności moc obliczeniowa wbudowana, była trudna do zdobycia. Moc obliczeniowa wymagana do przeprowadzenia szyfrowania WEP RC4 i zarządzania kluczami jest bardzo minimalna, co doskonale pokrywa się z mocą obliczeniową wielu urządzeń przenośnych i innych urządzeń wbudowanych. To właśnie jest głównym powodem, dla którego WEP pozostaje w wielu środowiskach i będzie w przewidywalnej przyszłości. Koszty utopione w urządzeniach infrastrukturalnych niezdolnych do wykonywania funkcji obciążających zasoby, takich jak AES i CCMP w WPA2.

Wdrożenie WPA

TKIP został precyzyjnie wykonany, aby umożliwić wsteczną kompatybilność ze sprzętem WEP. W dzisiejszym środowisku korporacyjnym powszechne jest, że WEP został całkowicie usunięty z pracowniczych sieci WLAN, ale jest powszechny w centrach handlowych lub dystrybucyjnych na urządzeniach przenośnych i innych urządzeniach przenośnych. Kolejnym czynnikiem pogarszającym słabą implementację szyfrowania strumieniowego RC4 przez WEP jest niejednoznaczna definicja w ramach standardu dla określonych procesów funkcji szyfrowania, w dużej mierze pozostawiająca decyzję dostawcy. Jest to szczególnie widoczne w sposobie generowania wektorów inicjujących; niektórzy dostawcy używają pseudogeneratora liczb losowych (PRNG), a inni zaczynają od 000000 i kierują się do FFFFFF. Pokrótce zagłębimy się w następujące wypróbowane i prawdziwe podstawowe luki w zabezpieczeniach wpływające na WEP oraz brak odpowiedniego zarządzania kluczami, integralności lub szyfrowania, a zakończymy krótkim opisem postępów WPA/WPA2 w tym obszarze