הגנה במערכות מתוכנתות חורף תשס" ד הרצאה 8 Wireless LAN Security WEP and 802.1X

1. הגנה במערכות מתוכנתותחורף תשס"דהרצאה 8Wireless LAN Security WEP and 802.1X

2. מבוא • Firewalls מספקים הגנה על נתונים/משאבים "נייחים" בתוך הרשת המוגנת. • המטרהשל פרוטוקולי אבטחה: להגן על נתונים בזמן מעבר ברשת (לספק סודיות, שלמות, אימות השולח ועוד). • מטרה נוספת : מניעת התקפות נוספות: למשל, התקפות כגון חטיפת session ו-syn attack. הגנה - חורף תשס"ד - הרצאה 8

3. Application TCP TCP UDP UDP Application IP MAC IPsec IP MAC באיזו שכבה להוסיףשירותי אבטחה? הגדרה: נאמר שפרוטוקול אבטחהעובד ברמה xאם הוא מגן על השכבות שמעל x, לדוגמא: הגנה - חורף תשס"ד - הרצאה 8

4. Secure Application TCP UDP IP MAC פרוטוקול אבטחה ברמת ה-Application • ניתן לספק סודיות, שלמות, אי-הכחשה, הגנה נגד שידור חוזרואמיתות השולח (ברמת האפליקציה) • איננו פוגע בניתוב • מסופק end to end • איננו משבש בדיקות של firewalls • איננו מגן כנגד התקפות כדוגמת Syn attack • האפליקציות חייבות להשתנות • דוגמאות: PGP, Kerberos, SSH. הגנה - חורף תשס"ד - הרצאה 8

5. Application SSL/TLS TCP UDP IP MAC פרוטוקול אבטחה ברמת ה-Transport • ניתן לספק סודיות, שלמות, הגנה נגד שידור חוזרואימות השולח. • איננו פוגע בניתוב. • ניתן לספק end to end. • איננו משבש בדיקות שלfirewalls. • איננו מגן כנגד התקפות כדוגמת Syn attack. • שקוף לאפליקציה. • דוגמאות: SSL, TLS. הגנה - חורף תשס"ד - הרצאה 8

6. Application TCP UDP IPsec IP MAC פרוטוקול אבטחה ברמת ה-IP • ניתן לספק סודיות, שלמות, הגנה נגד שידור חוזרואימות השולח (ברמת ה-IP). • איננו פוגע בניתוב. • ניתן לספק end to endאו gateway to gateway. • משבש בדיקות של firewalls. • שקוף ל-transportולאפליקציה. • ניתן להגן נגד syn attack והתקפות נוספות. הגנה - חורף תשס"ד - הרצאה 8

7. Application TCP UDP IP WEP 802.11 פרוטוקול אבטחה ברמת ה-MAC • ניתן לספק סודיות, שלמותואמיתות השולח (ברמת ה-MAC) • תלוי מדיה פיסיקלית • hop by hop • מגן על החלק הגדול ביותר מה-datagram • שקוף ל-IPומעלה • דוגמא : WEP הגנה - חורף תשס"ד - הרצאה 8

8. רשת מקומית אלחוטית • רשת מקומית אלחוטית נקבעת על-ידי: • אזור גיאוגרפי פיסי (שנמצא כולו בטווח קליטה/שידור). • טווח אורכי הגל עליהם עובדת הרשת. לדוגמא, 802.11 – פרוטוקול לשכבת MAC של רשתות אלחוטיות, עובד על אורכי גל קבועים מסוימים. • יתכן המצב בו באותו איזור פיסי, מעל אותם אורכי גל, עובדות מספר רשתות מקומיות. לכל רשת כזאת יש מחרוזת יחודית שנקראת SSID: (service set identifier). כאשר משתמש מתחבר לרשת, עליו לציין במפורש את ה-SSID של הרשת שברצונו להתחבר אליה. הגנה - חורף תשס"ד - הרצאה 8

9. 802.11 • תקן לרשתות מקומיות אלחוטיות (רמת MAC) שפורסם ע"י IEEE. נקרא גם Wi-Fi • ל-802.11 שתי צורות פעולה • Ad-hoc- קשר נקודה לנקודה בין שתי תחנות ניידות • Infrastructure- התחנות הניידות מתקשרות עם תחנה מרכזית נייחת, תחנת בסיס. תחנה זו נקראת גם Access Point מאחר והיא מספקת גישה אל מחוץ לרשת המקומית. התחנות הניידות חייבות להימצא בטווח קליטה ושידור מתחנת הבסיס • נדון רק בפעולת Infrastructure הגנה - חורף תשס"ד - הרצאה 8

10. 802.11 Infrastructure Mode אינטרנט הגנה - חורף תשס"ד - הרצאה 8

11. רשתות מקומיות אלחוטיות • רוחב פס נמוך • כמות איבוד החבילות והשגיאות גבוהה • אלחוטיות • פרישת הרשתות זולה (ניתן לקנות Access Point פשוט בפחות מ-40$) • חשופות להתקפת "מגרש החניה" (Parking Lot attack) • אין קשר פיסי ל"ספק הגישה" (Access Point). חשופות להתקפות ע"י Rouge Access Point הגנה - חורף תשס"ד - הרצאה 8

12. רשתות אלחוטיותדרישות אבטחה • אימות הגישה לרשת • יש צורך באימות הדדי כדי לוודא שה-Access point חוקי • הגנה על תעבורה (שמשודרת באוויר) • סודיות, שלמות, אימות והגנה מפני שידור חוזר הגנה - חורף תשס"ד - הרצאה 8

13. שירותי אבטחה 802.11 • כותבי התקן היו מודעים לעובדה, שאבטחת מידע היא הכרחית ברשתות אלחוטיות • אבטחת המידע ב-802.11 כוללת את WEP – Wired Equivalent Privacy • בקרת כניסה וגישה • מספק אימות, הצפנה ושלמות הגנה - חורף תשס"ד - הרצאה 8

14. WEP - דרישות • סודיות ההודעות • שלמות ההודעות • בקרת גישה (אימות משתמש) - לא לאפשר לתוקף להשתמש ברשת תוך התחזות למשתמש חוקי במציאות, WEP אינו מקיים אף אחת מהדרישות הנ"ל! הגנה - חורף תשס"ד - הרצאה 8

15. הצפנה ב-WEP • ההצפנה ב-WEP מתבצעת בעזרת צופן השטףRC4. • RC4 עובד באופן הבא: בהנתן מפתח (קצר יחסית) k, מייצריםkey stream (מפתח ארוך) K: K=RC4(k) • ההצפנה מתבצעת ע"י C=M  K • הפענוח מתבצע ע"י M=C  K • אם משתמשים באותו מפתח k יותר מפעם אחת, מקבלים את אותו key stream • קל לגלות תוכן הודעות שהוצפנו באותו key stream הגנה - חורף תשס"ד - הרצאה 8

16. הצפנה ב-WEP - המשך • הפתרון של WEP: שימוש ב-IV • אורך ה-IV ב-WEP הוא 24 סיביות • לשני הצדדים מפתח משותף k – שאורכו 40 או 104 סיביות • מפתח ההצפנה (שממנו מיוצר ה-key stream) מתקבל ע"י שרשור המפתח המשותף וה-IV הגנה - חורף תשס"ד - הרצאה 8

17. הצפנה ב-WEP -המשך • בהצפנה: משתמשים ב-IV חדש. ה-key stream מתקבל ע"י K=RC4(k,IV). ההצפנה היא C=M  K ה-IV נשלח בצורה גלויה יחד עם ההודעה המוצפנת • הפענוח: מחשבים את K=RC4(k,IV) ו-M=CK • פתרון כזה מועיל רק אם דואגים שה-IV לא חוזר על עצמו בזמן החיים של מפתח k הגנה - חורף תשס"ד - הרצאה 8

18. ניהול מפתחות ב-WEP • ניהול המפתחות ב-WEP הוא סטטי • בכל תחנה נייחת מוגדר מפתחWEP - k • כל המשתמשים הניידים המנסים להתחבר לתחנה הניידת חייבים לדעת את k • המפתח k הוא קבוע – התקן אינו מגדיר מנגנון לשינוי והפצת המפתחות. לכן המפתחות מתחלפים לעיתים רחוקות, אם בכלל הגנה - חורף תשס"ד - הרצאה 8

19. פרוטוקול לאימות המשתמש • הפרוטוקול מתבצע בכל פעם שתחנה ניידת מתקשרת לתחנת הבסיס • המטרה: תחנת הבסיס מוודאת את זהות המשתמש • הדרך: המשתמש נדרש להוכיח שהוא יודע מפתח משותף סודי k • אופן הביצוע: תחנת הבסיס שולחת challenge בצורה גלויה. המשתמש נדרש להחזיר response, שהוא הצפנת RC4 של ה-challenge באמצעות k הגנה - חורף תשס"ד - הרצאה 8

20. התקפה על הפרוטוקול לאימות המשתמש • מתקיף שמאזין לניסיון התחברות של תחנה ניידת חוקית אל תחנת הבסיס יכול להשיג זוג של (Challenge, Response) • מכיוון ש- Response = Challenge  RC4(IV,k) המתקיף מסוגל להתחזות לתחנה ניידת, ע"י שימוש באותו IV הגנה - חורף תשס"ד - הרצאה 8

21. שלמות ב-WEP • לפני הצפנת ההודעה, מחשבים checksum CRC של ההודעה. לאחר מכן, מצפינים את ההודעה יחד עם ה-CRC • CRCהוא קוד ליניארי לתיקון שגיאות. הוא נועד לתקן שגיאות אקראיות שנפלו במהלך השידור • קוד ליניארי משמע: CRC(x  y)=CRC(x)  CRC(y) הגנה - חורף תשס"ד - הרצאה 8

22. WEP – פורמט ההודעות Message Plaintext Message CRC  KeyStream=RC4(IV,k) IV Ciphertext Transmitted Data הגנה - חורף תשס"ד - הרצאה 8

23. סודיות ב-WEP • המפתח המשותף k בין כל המשתמשים הניידים לתחנת הבסיס הוא קבוע. • במצב כזה, על מנת שה-key stream לא יחזור על עצמו, חייבים להבטיח שה-IV-ים לא חוזרים על עצמם. אחרת, תכונת הסודיות לא מתקיימת. הגנה - חורף תשס"ד - הרצאה 8

24. (חוסר) סודיות ב-WEP • אורך השדה IV ב-WEP הוא רק 24 ביטים. לכן, אחרי 224 הודעות (16 מיליון) מובטח ש-IV יחזור על עצמו. • יתרה מזו, כרטיסי רשת 802.11 מאפסים את השדה IV בכל פעם שהם מופעלים מחדש, ולאחר מכן מגדילים את הערך ב-1 בכל צעד. • לכן, ערכים קטנים של IV-ים חוזרים בהתחלה של כל session. • מסקנה: למרות ש-WEP משתמש באלגוריתם קריפטוגרפי ידוע (RC4), השימוש הוא שגוי, ותכונת הסודיות אינה מובטחת. הגנה - חורף תשס"ד - הרצאה 8

25. שלמות ב-WEP • נשים לב כי stream ciphers אינם מספקים שלמות: היפוך של ביט ב-ciphertext גורם להיפוך הביט המתאים ב-plaintext. • על-מנת לספק שלמות, מחשבים CRC של ההודעה. אבל: CRC הוא קוד לתיקון שגיאות. הוא נועד לתקן שגיאות אקראיות שנפלו במהלך השידור, ולא שגיאות שנובעות מהתקפות מכוונות. הגנה - חורף תשס"ד - הרצאה 8

26. שלמות ב-WEP - המשך • ה-CRC מחושב ישירות על ההודעה, בלי שום מפתחות סודיים. לכן כל אחד יכול לחשב CRC של כל הודעה. • ה-CRC הוא קוד לינארי: CRC(x  y)=CRC(x)  CRC(y) • לכן אם נרצה להחליף את m ב-mΔ ערך ה-CRC החדש הוא: CRC(m Δ)=CRC(m) CRC(Δ) הגנה - חורף תשס"ד - הרצאה 8

27. (חוסר) שלמות ב-WEP • תכונת השלמות ב-WEP לא מובטחת. • על מנת להפוך ביט אחד ב-plaintext, צריך להפוך את הביט המתאים ב-ciphertext. • בנוסף, יש לתקן את ההצפנה של CRC. אבל: קל לחשב אילו ביטים יש להפוך ב-CRC. על ידי היפוך הביטים המתאימים בהצפנה של ה-CRC נקבל את התוצאה הדרושה. הגנה - חורף תשס"ד - הרצאה 8

28. בקרת גישה ב-WEP • נניח שמתקיף, שהוא אינו משתמש חוקי ברשת, שומע הודעת WEP אחת ממשתמש חוקי אל תחנת הבסיס (או בכיוון ההפוך) ומצליח לגלות את תוכן ההודעה. נראה שהמתקיף יוכל להתחזות למשתמש הנ"ל ולשלוח בשמו הודעות WEP חוקיות כרצונו. הגנה - חורף תשס"ד - הרצאה 8

29. (חוסר) בקרת הגישה ב-WEP תאור ההתקפה: נניח שהמשתמש החוקי שלח הודעה M ב-WEP. ההודעה שנשלחה היא: (IV,C), כאשר C הוא XOR של (M,CRC(M)) ו-K=RC4(IV,k). המתקיף רוצה לשלוח את M’. נסמן D=M XOR M’. • CRC(M’)=CRC(M) XOR CRC(D) • המתקיף ישלח: (IV,C’), כאשר C’ מתקבל מ-C באופן הבא: • נחשב XOR בין ההצפנה של M ל-D • נחשב XOR בין ההצפנה של CRC(M) ו-CRC(D). התוצאה: הצפנה חוקית של ההודעה M’. הגנה - חורף תשס"ד - הרצאה 8

30. (חוסר) בקרת הגישה ב-WEP • על מנת לבצע את ההתקפה הנ"ל, מספיק שהמתקיף שומע הודעת WEP אחת ויודע את ה-plaintext שלה. • קל לשמוע הודעות WEP, אבל כיצד יכול המתקיף להשיג plaintext שלהן? • WEP דואג לכך לבד, בעזרת הפרוטוקול לאימות המשתמש! הגנה - חורף תשס"ד - הרצאה 8

31. עתיד האבטחה ב-802.11 • ב-IEEE נעשה כעת מאמץ לתיקון בעיות האבטחה ב-802.11 • לשם כך מוגדר תקן חדש, 802.11i, שמגדיר פרוטוקולי אימות משתמש, ניהול מפתחות ואבטחת תעבורה חדשים • פרוטוקולי האימות מוגדרים בתקן שנקרא 802.1X, המבוסס על EAP – Extensible Authentication Protocol הגנה - חורף תשס"ד - הרצאה 8

32. Roamingואימות משתמשים ברשת מקומית

33. מהו Roaming ? • רבים מהמשתמשים ב-Internet אינם מתחברים ממקום קבוע, אלא מתחברים בכל פעם ממקום אחר • בכל התחברות ,ממקום כלשהו, מחויב חשבון המשתמש (לדוגמא sarab@netvision.net.il). מכאן שמכל מקום, האימות חייב להעשות מול אותם נתוני חשבון. • Roaming ממומש ברשתות סלולריות הגנה - חורף תשס"ד - הרצאה 8

34. התחברות לרשת מקומיתתרחיש I הגנה - חורף תשס"ד - הרצאה 8

35. תרחיש 1 - הסברים • כל ה-access points בציור נמצאים באותו מקום פיסי (זה רצוי לפעמים, מכיוון ש-access point אחד יכול לשרת מספר מוגבל מאוד של משתמשים בו-זמנית). • ה-access gateway מחבר אותם לאינטרנט ומבצע אימות. הוא נמצא באותו מקום פיסי, ובו מאוחסנים נתוני האימות • תרחיש זה אינו יכול לספק תמיכה ב-Roaming הגנה - חורף תשס"ד - הרצאה 8

36. התחברות לרשת מקומיתתרחיש 2 הגנה - חורף תשס"ד - הרצאה 8

37. תרחיש 2 - הסברים • בציור רואים access points בשלושה מקומות פיסיים. • בכל מקום כזה, יש גם access gateway, שמחבר אותם לאינטרנט. • האימות מתבצעת ע"י authentication server יחיד (שנסמנו ב-AS). • התקשורת בין access gateways ל-AS מתבצעת תוך שימוש בפרוטוקול Radius. מטרת התקשורת: העברת אינפורמציית האימות של משתמשים ניידים, וקבלת אישור או שלילה הגנה - חורף תשס"ד - הרצאה 8

38. מהו Radius? • Radius: Remote Access Dial In User Service – פרוטוקול שרץ מעל UDP • נועד להעביר אינפורמציה אימות מעל האינטרנט • המשתתפים הם ה-Access Point וה-AS • מבצע אימות של שני הצדדים (במקרה זה: Access gateway ו-Authentication server). הגנה - חורף תשס"ד - הרצאה 8

39. פרוטוקול אימות משתמש ברשת מקומית • נדרש לתמוך ב-Roaming • נדרש לעמוד בפני כל ההתקפות הרגילות • בפרט בפני Rouge Access Points הגנה - חורף תשס"ד - הרצאה 8

40. מצב עכשווי • בגלל הבעייתיות של אימות משתמש ב-802.11, לא נעשה אימות ברמת ה-MAC • ברגע שמשתמש מתחבר, ה-Access point מקצה לו כתובת IP, אך אינו מאפשר לו יציאה אל מחוץ לרשת • לאחר קבלת כתובת IP, מבצע המשתמש אימות מעל SSL אל ה-Access Point. • ה-Access Point מוודא את אינפורמציה האימות מול שרת Authentication מרוחק (שהוא בדרך כלל Internet provider), מעל Radius. • ברגע שהאימות מסתיים בהצלחה, המשתמש מקבל גישה לאינטרנט דרך ה-Internet provider הגנה - חורף תשס"ד - הרצאה 8

41. דוגמא • שרה משתמשת בשירותים של ספק השירות Netvision. • כאשר היא מתחברת ל-access point כלשהו, היא מכניסה username=sarab@netvision.net.il ואת סיסמתה ב-netvision. • לפי ה-username, ה-Access point יודע שעליו לפנות ל-netvision על-מנת לאמת את הסיסמא. • העברת הסיסמא ושם המשתמש מהמחשב של שרה ל-access point מתבצע מעל SSL. • העברת הסיסמה ושם המשתמש מה-access point ל-Netvision מתבצע מעל Radius. הגנה - חורף תשס"ד - הרצאה 8

42. מצב עכשווי - בעיות • ה-Access Point מקצה משאבים (ערוץ תקשורת, כתובת IP) מבלי לבצע כל בדיקה • למשתמש אין דרך לוודא שה-Access Point משתמש ב-SSL • התחזות של ה-Access Point • חטיפת Session הגנה - חורף תשס"ד - הרצאה 8

43. פתרון עתידי 802.1X • 802.1X הוא תקן לאימות משתמשים ברמת ה-MAC. האימות מתבצע לפני קבלת כתובת IP ע"י המשתמש • אין בזבוז משאבים על משתמשים לא מורשים • 802.1X תומך ב-Roaming • 802.1X מבוסס על פרוטוקול שנקרא EAP – Extensible Authentication Protocol • 802.1X ממומש ב-Windows XP, ומקווים שהוא יכנס לשימוש ב-Access Points בשנה הקרובה הגנה - חורף תשס"ד - הרצאה 8

44. המשתתפים ב-802.1X(וב- EAP) • Supplicant– יחידת המשתמש, המבקש להתחבר לרשת המקומית • Authenticator– יחידת הגישה אליה מבקש המשתמש להתחבר (בדרך כלל ה-access point). ממנה ניתן להתחבר ל-Internet • Authentication Server– שרת האימות, שבו יושבים נתוני האימות של המשתמשים הגנה - חורף תשס"ד - הרצאה 8

45. טופולוגית 802.1X רשת מקומית Internet RADIUS EAP Over RADIUS EAP Over Wireless EAP over LAN Authentication Server Authenticator/ (e.g. Access Point) Supplicant הגנה - חורף תשס"ד - הרצאה 8

46. מודל האימות ב-802.1X • ה-Authenticator (יחידת הגישה) משמשת כממסר להודעות פרוטוקול האימות (EAP), מבלי שתבין את תכנם • פרוטוקול האימות עצמו מתבצע בין יחידת המשתמש (Supplicant) ובין שרת האימות • בסיום הפרוטוקול מקבל ה- Authenticator משרת האימות תשובה, האם האימות הצליח או לא, ובהתאם מאפשר או לא מאפשר חיבור של המשתמש לרשת הגנה - חורף תשס"ד - הרצאה 8

47. EAP • EAP הוא פרוטוקול נושא (Carrier) לפרוטוקולי אימות, הוא אינו מגדיר שיטת אימות (Method) • EAP יכול לרוץ מעל שכבות שונות • כולל MAC ו-Application • הוגדרו מספר רב של שיטות אימות שרצות מעל EAP: EAP-MD5, EAP-SRP, EAP-TLS ועוד. הגנה - חורף תשס"ד - הרצאה 8

48. מודל האימות - מוטיבציה • תמיכה ב-Roaming :אפשרות לגישה לשרת אימות מרכזי מכל הרשתות המקומיות שמחוברות ל-Internet • אי-תלות שיטת האימות ביחידת הגישה ברשת המקומית :ניתן לשנות שיטת אימות על ידי שינוי השרת ויחידת המשתמש, ללא שינוי יחידת הגישה ברשת המקומית • הערה – שרת האימות ויחידת הקצה ניתנים לשליטה ע"י ארגון בודד (לדוגמא ה-ISP), ה-Access Point לא! הגנה - חורף תשס"ד - הרצאה 8

49. 802.1X ו-MitM • מכיוון שה-Authenticator ב-802.1X איננו שותף לתהליך האימות, ובפרט איננו מאומת ע"י יחידת המשתמש, 802.1X חשוף להתקפה ע"י Rouge Access Point • המתקיף מצליח להתחזות למשתמש האמיתי, ואף לקיים קשר ברמות IP ומעלה הגנה - חורף תשס"ד - הרצאה 8

50. Man in the Middle in 802.1X Internet רשת מקומית RADIUS EAP Over RADIUS Authentication Server EAP Over Wireless EAP over LAN Authenticator/ (e.g. Access Point) Authenticator/ Supplicant Supplicant הגנה - חורף תשס"ד - הרצאה 8