La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Fabio Pietrosanti - Yvette Agostini 1 Wireless (in)security: (in)sicurezza dell'802.11 Fabio (naif) Pietrosanti - Yvette (vodka) Agostini

Presentazioni simili


Presentazione sul tema: "Fabio Pietrosanti - Yvette Agostini 1 Wireless (in)security: (in)sicurezza dell'802.11 Fabio (naif) Pietrosanti - Yvette (vodka) Agostini"— Transcript della presentazione:

1 Fabio Pietrosanti - Yvette Agostini 1 Wireless (in)security: (in)sicurezza dell'802.11 Fabio (naif) Pietrosanti - Yvette (vodka) Agostini fabio@pietrosanti.it – yvette@yvetteagostini.it Webbit 047 Maggio 2004

2 Fabio Pietrosanti - Yvette Agostini2 Missione impossibile Volete imparare tutto quello che ce da sapere su 802.11, WEP,802.1x,TKIP, EAP, 802.11i in 60 minuti?

3 Fabio Pietrosanti - Yvette Agostini3 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

4 Fabio Pietrosanti - Yvette Agostini4 01 - Wireless: perchè? è comodo da utilizzare consente di accedere alle risorse di rete senza essere vincolati a cavi, presenza di prese di rete, ecc. si declina in differenti modi per venire incontro a esigenze di scala differente (wwan, wlan, wpan, wman) è relativamente poco dispendioso

5 Fabio Pietrosanti - Yvette Agostini5 01 - Wireless: perchè preoccuparsi? Il media e condiviso, chiunque puo accedervi Il media condiviso e FRAGILE Tanti standard nati male dal punto di vista della sicurezza( GSM, 802.11 ) La mancanza di cultura della sicurezza e la diffusione di punti di accesso alla rete anonimi Limpiego delle tecnologie wireless non e sempre unesigenza

6 Fabio Pietrosanti - Yvette Agostini6 01 - Tecnologie wireless più utilizzate Wireless Wide Area Network GPRS, GSM, WCDMA Wireless Metropolitan Area Network ( 802.16 ) Wireless Personal Area Network bluetooth Wireless Local Area Network Wi-Fi 802.11

7 Fabio Pietrosanti - Yvette Agostini7 384 Kbps 56 Kbps 54 Mbps 72 Mbps 5-11 Mbps 1-2 Mbps 802.11 01 - Tecnologie e protocolli Bluetooth 802.11b 802.11{a,b} Turbo.11a Indoor 10 – 30m IS-95, GSM, CDMA WCDMA, CDMA2000 Outdoor 50 – 200m Mid range outdoor 200m – 4Km Long range outdoor 5Km – 20Km Long distance com. 20m – 50Km µwave p-to-p links.11 p-to-p link 2G 3G

8 Fabio Pietrosanti - Yvette Agostini8 01 - Reti cellulari (GPRS) Le prime reti dati cellulari si hanno con il GPRS che sfrutta piu canali GSM in un unico canale logico Le prime reti dati cellulari si hanno con il GPRS che sfrutta piu canali GSM in un unico canale logico Lautenticazione su rete GPRS e paragonabile a quella con certificati digitali. Lautenticazione su rete GPRS e paragonabile a quella con certificati digitali. Linfrastruttura prevede network logici sul network fisico cui si accede tramite APN Linfrastruttura prevede network logici sul network fisico cui si accede tramite APN La sicurezza del GPRS e interamente gestita dalloperatore ( security trough obscurity spesso e volentieri!) La sicurezza del GPRS e interamente gestita dalloperatore ( security trough obscurity spesso e volentieri!)

9 Fabio Pietrosanti - Yvette Agostini9 01 - Reti cellulari (GPRS)

10 Fabio Pietrosanti - Yvette Agostini10 01 - Reti satellitari Le reti dati satellitari piu usate sono: Le reti dati satellitari piu usate sono: –DVB ( Digital Video Broadcat ) –VSAT ( Very Small Aperture Terminal ) Entrambe sono tecnologie broadcast Entrambe sono tecnologie broadcast Tirare giu un satellite: facilissimo! Tirare giu un satellite: facilissimo! Tecnologie instabili (pioggia, grandine) Tecnologie instabili (pioggia, grandine) La crittografia e mandatory La crittografia e mandatory

11 Fabio Pietrosanti - Yvette Agostini11 01 - Reti satellitari (DVB) Il DVB e stato creato per le trasmissioni televisive digitali Il DVB e stato creato per le trasmissioni televisive digitali E standard ETSI 302 192 E standard ETSI 302 192 Per la trasmissione di IP si usa IP in DVB Per la trasmissione di IP si usa IP in DVB La crittografia usata per le trasmissioni televisive non centra nulla con quella per ip La crittografia usata per le trasmissioni televisive non centra nulla con quella per ip Viene impiegato impiegato spesso tramite routing asimmetrico con linee analogiche Viene impiegato impiegato spesso tramite routing asimmetrico con linee analogiche Spesso usato per push di contenuti multicast. Spesso usato per push di contenuti multicast.

12 Fabio Pietrosanti - Yvette Agostini12 01 - Reti satellitari (VSAT) Il vsat e ampiamente utilizzato dove vi e carenza di infrastrutture Il vsat e ampiamente utilizzato dove vi e carenza di infrastrutture VSAT richiede una attenta configurazione e puntamento degli apparati VSAT richiede una attenta configurazione e puntamento degli apparati VSAT non raggiunge il grande pubblico per i suoi costi (2k euro per installazione) VSAT non raggiunge il grande pubblico per i suoi costi (2k euro per installazione)

13 Fabio Pietrosanti - Yvette Agostini13 01 - Reti satellitari (VSAT)

14 Fabio Pietrosanti - Yvette Agostini14 01 - Wireless local loop Utilizzate per lultimo miglio Utilizzate per lultimo miglio Gli apparati sono molto costosi, gli addetti al settore relativamente pochi e piu esperti di radiofrequenze che di informatica Gli apparati sono molto costosi, gli addetti al settore relativamente pochi e piu esperti di radiofrequenze che di informatica Frequenze utilizzate molto alte (18ghz) Frequenze utilizzate molto alte (18ghz) La maggior parte delle volte non sono cifrati (secondo voi i link p-to-p degli operatori gsm sono cifrati???) La maggior parte delle volte non sono cifrati (secondo voi i link p-to-p degli operatori gsm sono cifrati???) La famiglia 802.11 sta provvedendo con 802.11f ( WMAN ) La famiglia 802.11 sta provvedendo con 802.11f ( WMAN )

15 Fabio Pietrosanti - Yvette Agostini15 01 - Bluetooth Ideato nel 1994 da Ericsson Nel 1998 nasce lo Special Interest Group formato da IBM, Intel, Nokia, Toshiba and Ericsson Le specifiche tecniche complete sono disponibili solo per i membri del SIG Rientra nella categoria delle PAN, personal area network Supporta sia connessioni point-to-point che ad- hoc La sicurezza si basa su autenticazione non mutua con chiavi a 128bit

16 Fabio Pietrosanti - Yvette Agostini16 01 - Bluetooth rimpiazzare i cavi di connessione tra cellulari- palmari-pc Trova applicazioni di ogni tipo, pubblicita, informative, pagamento, identificazione Utilizza la stessa banda di frequenza dell802.11 (2,4GHz) Dispositivi di bassa potenzaDispositivi di bassa potenza Classe 3 (1mW)Classe 3 (1mW) Classe 1(100mW)Classe 1(100mW) Utilizza uno schema Frequency Hopping Spread Spectrum predefinito poco sensibile alle interferenzeUtilizza uno schema Frequency Hopping Spread Spectrum predefinito poco sensibile alle interferenze Recenti attacchi dimostrati Recenti attacchi dimostrati Su uno spazio di 1MHz, lhopping avviene ogni 625 microsecondiSu uno spazio di 1MHz, lhopping avviene ogni 625 microsecondi

17 Fabio Pietrosanti - Yvette Agostini17 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

18 Fabio Pietrosanti - Yvette Agostini18 02 802.11:il Wi-Fi

19 Fabio Pietrosanti - Yvette Agostini19 02 - 802.11: cosa definisce Physical Datalink Network Transport Session Presentation Application Medium Access Control (MAC) Logical Link Control (LLC) MAC controlla laccesso al canale fisico nel rispetto di un insieme di regole predeterninate LLC fornisce un tipo di protocollo HDLC differenze: radio poco affidabile maggior tasso di errore intercettazione tutto il traffico passa per lap

20 Fabio Pietrosanti - Yvette Agostini20 02 - 802.11: cosa definisce E parte della famiglia di standard 802, relativa alle Local Area Network (LAN) Lo standard 802 si concentra sui due layer più bassi della pila OSI: Physical layer Datalink layer 802.11 FHSS PHY 802.11 DSSS PHY 802.11a OFDM PHY 802.11b HR/DSSS PHY 802.11 MAC Physical layer MAC Sublayer

21 Fabio Pietrosanti - Yvette Agostini21 02 - La famiglia 802.11 (1) 802.11 wireless lan 2.4ghz 1-2mb/s 801.11b wireless lan 2.4ghz 11mb/s 802.11a wireless lan 5.0ghz 54mb/s (problema in europa) 802.11g wireless lan 2.4ghz 54mb/s 802.1x funzionalita di autenticazione per le reti wired EAP framework di autenticazione modulare TLS protocollo derivato da SSL utilizzato dai metodi EAP moderni PAP, CHAP, MSCHAPv1, MSCHAPv2 protocolli di autenticazione usati sul framework EAP

22 Fabio Pietrosanti - Yvette Agostini22 MAC MIB DSSS FH IR PHY WEP LLC MAC Mgmt 802.11b 5,11 Mbps 802.11g 20+ Mbps 802.11a 6,9,12,18,24 36,48,54 Mbps OFDM 802.11i sicurezza 802.11f Inter Access Point Protocol 802.11e QoS enhancements 02 - La famiglia 802.11 (2)

23 Fabio Pietrosanti - Yvette Agostini23 02 – Modulazione DSSS e FHSS DSSS invia molti pacchetti differenti su alcune frequenze diverse nello stesso momento Veloce Costoso Soggetto a interferenze FHSS invia pochi pacchetti, poi cambia la frequenza (frequency hopping) e invia altri pacchetti Poco costoso Non molto soggetto a interferenze Lento rispetto a DSSS 802.11b

24 Fabio Pietrosanti - Yvette Agostini24 02 - Tipi di frame RTS CTS ACK PS-Poll CF-End & CF- End ACK Data Data+CF-ACK Data+CF-Poll Data+CF- ACK+CF-Poll Null Function CF-ACK (nodata) CF-Poll (nodata) CF-ACK+CF+Poll Beacon Probe Request & Response Authentication Deauthentication Association Request & Response Reassociation Request & Response Disassociation Announcement Traffic Indication Message (ATIM) CONTROLLODATIGESTIONE

25 Fabio Pietrosanti - Yvette Agostini25 02 - Frame di controllo Servono a controllare laccesso al mezzo trasmissivo wireless Request To Send (RTS) – serve a avere accesso almezzo per la trasmissione di grossi frames (la dimensione e definita dal soglia RTS della scheda wireless) Clear To Send (CTS) – e la risposta a un RTS Acknowledgement (ACK) – sono usati in ogni trasmissione (dati, frame frammentati, ecc) PowerSave Poll (PS-Poll) – inviati dal client allAP quando il client si risveglia dalla modalità di power saving

26 Fabio Pietrosanti - Yvette Agostini26 02 - Frame di gestione (1) Beacon – vengono trasmessi a intervalli regolari e annunciano lesistenza di una rete Probe Request – trasmesso dal client che cerca una rete, contiene due soli campi: SSID e velocità di trasmissione Probe Response – Se il probe request incontra una rete con parametri che soddisfano le richieste, lAP invia un probe response Disassociation – sono usati per terminare una relazione di associazione Deauthentication – sono usati per terminare una relazione di autenticazione

27 Fabio Pietrosanti - Yvette Agostini27 02 - Frame di gestione (2) Association Request – una volta identificata una rete con parametri compatibili, il client invia questo frame per unirsi alla rete Reassociation Request – in tutto simile al precedente tranne che contiene lindirizzo dellAP cui il client e associato nel momento dellinvio. Questo consente al nuovo AP di contattare laltro per farsi passare i dati di associazione Association Response - da AP in risposta a uno dei frame precedenti Reassociation Response Authentication – inviati dal client per autenticarsi con lAP

28 Fabio Pietrosanti - Yvette Agostini28 02 - Frame dati Trasportano i dati dei livelli di protocollo superiori Possono trasportare dati oppure assolvere funzioni di gestione

29 Fabio Pietrosanti - Yvette Agostini29 02 - Formato dei frames 802.11 Tipi – –Frame di controllo, frame di management, frame di dati Numeri di sequenza – –Importanto contro i frame dplicati per ACK perduti Indirizzi – –ricevente, trasmittente (fisico), identificativo del BSS, mittente (logico) Vari – –Tempo di invio, checksum, frame di controllo, dati Frame Control Duration ID Address 1 Address 2 Address 3 Sequence Control Address 4 DataCRC 2 26666240-2312 bytes version, type, fragmentation, security,...

30 Fabio Pietrosanti - Yvette Agostini30 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

31 Fabio Pietrosanti - Yvette Agostini31 03 – Il WEP (1) E una chiave condivisa (shared key): deve essere conosciuta dallAccess Point e dal client. E una chiave condivisa (shared key): deve essere conosciuta dallAccess Point e dal client. segreto di pulcinella e difficile scalabilita segreto di pulcinella e difficile scalabilita Si basa su RC4 (cipher stream) e operazioni di XOR con lo stream dei dati in transito Si basa su RC4 (cipher stream) e operazioni di XOR con lo stream dei dati in transito LInitialization Vector (IV) del WEP che serve a inizializzare il cipher stream viene trasmesso in chiaro LInitialization Vector (IV) del WEP che serve a inizializzare il cipher stream viene trasmesso in chiaro analizzando sufficiente traffico e possibile individuare lo stream chiave e decifrare. analizzando sufficiente traffico e possibile individuare lo stream chiave e decifrare.

32 Fabio Pietrosanti - Yvette Agostini32 03 – Il WEP (2) WEP esiste con chiave da 40bit o 128bit la versione a 128bit non era stata standardizzata (104bit o 128bit o 152bit ? Interoperabilità? ) a causa delle leggi sulla crittografia degli USA. lo standard 802.11b definisce un CRC a Mac layer che porta ad accettare come validi pacchetti non cifrati, purche il loro checksum sia corretto. (integrità dei dati non garantita)

33 Fabio Pietrosanti - Yvette Agostini33 03 - Meccanismo del WEP 101111011... streamcipher 010110001... dati 111001010... keystream XOR = 010110001... dati 111001010... keystream XOR =

34 Fabio Pietrosanti - Yvette Agostini34 03 - Caratteristiche dello streamcipher Per tenere corta la secret key si usa il PRNG (pseudo random number generator) Secret key -> PRNG -> keystream Mittente e ricevente dovranno quindi usare la stessa chiave segreta e lo stesso algoritmo PRNG per poter essere interoperabili RC4 (di RSA) usa loperazione di or esclusivo (XOR) per ottenere lo streamcipher a partire dal keystream e i dati

35 Fabio Pietrosanti - Yvette Agostini35 03 - Wep e C I A confidenzialità – nel transito tra client wireless e access point, tramite la cifratura per cui viaggia lo streamcipher e non il dato in chiaro Integrità – un controllo di integrità sui dati trasmessi garantisce che non siano modificati nel transito autenticazione – attraverso lutilizzo della chiave si ottiene lautenticazione del dispositivo wireless client nei confronti dellAP

36 Fabio Pietrosanti - Yvette Agostini36 03 - Wep: una coperta troppo corta Il wep non riesce a essere efficace nel garantire i requisiti di sicurezza C I A: Confidenzialità – e stata dimostrata la vulnerabilita dellRC4 nel 2001. Riutilizzo del keystrem, Initialization Vector trasmesso in chiaro Integrità – e stato dimostrato che e possibile far passare come integri anche pacchetti che non lo sono. Non usa hashing, ma Cyclic Redundancy Check a 32 bit autenticazione – lautenticazione non e bidirezionale e non riguarda lutente ma il solo dispositivo Problemi di distribuzione della chiave (shared secret) su molti utenti

37 Fabio Pietrosanti - Yvette Agostini37 03 - Lattacco crittografico al wep Abbiamo visto le debolezze intrinseche al protocollo. Vediamo lattacco. Viene sfruttata una debolezza nel modo in cui viene generato il keystream. Assumendo di poter recuperare il primo byte del payload cifrato Poiche 802.11 utilizza il Link Layer Control, il cui primo byte e 0xAA (SNAP header), tramite uno xor con il primo byte cifrato del payload, e possibile ricavare il primo byte del keystream Questo attacco e lineare. Al crescere dei byte del keystream decifrati, cresce la velocita di decifratura dei rimanenti.

38 Fabio Pietrosanti - Yvette Agostini38 03 - Il frame con wep 802.11b Header IV[0]IV[1]IV[2]Key ID SNAP[0]SNAP[1] SNAP[2]SNAP[3] 32-bit Checksum Payload (cifrato)

39 Fabio Pietrosanti - Yvette Agostini39 03 - WEP Data Transmission IV[0]IV[1]IV[2]SK[0]SK[4]SK[3]SK[2]SK[1] Keystream = InitializationVector. StaticKey

40 Fabio Pietrosanti - Yvette Agostini40 03 - WEP Data Transmission K = IV. SK Node IV viene generato o con un contatore o randomicamente

41 Fabio Pietrosanti - Yvette Agostini41 03 - WEP Data Transmission streamcihperK = IV. SK Node

42 Fabio Pietrosanti - Yvette Agostini42 03 - WEP Data Transmission K = IV. SKstreamcipherK = IV. SK Node Il ricevente usa lIV ricevuto e la chiave statica SK in suo possesso per decifrare

43 Fabio Pietrosanti - Yvette Agostini43 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

44 Fabio Pietrosanti - Yvette Agostini44 04 – Autenticazione Lautenticazione e uno degli elementi piu critici nella sicurezza. Lautenticazione e uno degli elementi piu critici nella sicurezza. Una buona infrastruttura di autenticazione protegge dalla maggior parte degli attacchi Una buona infrastruttura di autenticazione protegge dalla maggior parte degli attacchi Le fasi del processo di autenticazione: Le fasi del processo di autenticazione: –Autenticazione –Autorizzazione –Accounting

45 Fabio Pietrosanti - Yvette Agostini45 04 - Identificazione e Autenticazione (1) Consente a un entita ( una persona o un sistema) di dichiarare la sua identita a unaltra entita. Consente a un entita ( una persona o un sistema) di dichiarare la sua identita a unaltra entita. Di solito lentita che vuole identificarsi deve dimostrare la conoscenza di un segreto allaltra. Di solito lentita che vuole identificarsi deve dimostrare la conoscenza di un segreto allaltra. Strong authentication: Lentita rivela la conoscenza del segreto allaltra senza rivelare S a questultimo Strong authentication: Lentita rivela la conoscenza del segreto allaltra senza rivelare S a questultimo Autenticarsi significa disporre di credenziali Autenticarsi significa disporre di credenziali

46 Fabio Pietrosanti - Yvette Agostini46 04 - Identificazione e Autenticazione (2) Le credenziali possono essere di alcuni tipi: Le credenziali possono essere di alcuni tipi: Quello che sai Quello che sai – Password, pin, compleanno di tua madre. Quello che hai Quello che hai – Token, badge, smartcard Quello che sei Quello che sei –Fingerprint, voice recognition, analisi della retina Combinazioni: Combinazioni: –Quello che hai + quello che sai. Token con pass dinamiche –Quello che sei + quello che sai. Fingerprint+pin.

47 Fabio Pietrosanti - Yvette Agostini47 04 - Autorizzazione Dopo avere verificato lidentita del soggetto il sistema informatico deve determinare i suoi diritti e privilegi: questo e il processo di autorizzazione. Dopo avere verificato lidentita del soggetto il sistema informatico deve determinare i suoi diritti e privilegi: questo e il processo di autorizzazione. Consentire allutente piero del marketing di potere accedere alle sole risorse (reti, fileserver, web interno, etc) del marketing e non a quelle dellamministrazine Consentire allutente piero del marketing di potere accedere alle sole risorse (reti, fileserver, web interno, etc) del marketing e non a quelle dellamministrazine

48 Fabio Pietrosanti - Yvette Agostini48 04 - Accounting La registrazione di eventi relativi alle autenticazioni e autorizzazioni La registrazione di eventi relativi alle autenticazioni e autorizzazioni Es: Es: –User pippo logged in on 7 Mar 2002 on port 12 –Failed password for user mario on 8 Mar 2002

49 Fabio Pietrosanti - Yvette Agostini49 04 - Protocolli di autenticazione: (1) Lo scambio delle credenziali deve essere immune allo sniffing e al replaying dei dati. Per questo sono e fondamentale avere dei solidi meccanismi per gestire lautenticazione. Questi meccanismi sono definiti come protocolli di autenticazione ma non tutti sono sicuri La combinazione di questi protocolli assieme ad altre tecnologie di autenticazione sono il fondamento della sicurezza del Wi-Fi

50 Fabio Pietrosanti - Yvette Agostini50 04 - Protocolli di autenticazione: (2) I protocolli di autenticazione definiscono delle metodologie per lo scambio di crede ziali fra due peer. I protocolli di autenticazione definiscono delle metodologie per lo scambio di crede ziali fra due peer. Creati inizialmente per le necessita del ppp i principali protolli sono: Creati inizialmente per le necessita del ppp i principali protolli sono: –PAP ( Password authentication protocol) –CHAP ( ChallengeReponse Handshake authentication protocol) –MS-CHAP v1/v2 ( Variante Micrsoft del CHAP) –EAP ( Extendable authentication protocol)

51 Fabio Pietrosanti - Yvette Agostini51 04 - Protocollo PAP (1) PAP (Password Authentication Protocol): Il modulo base di autorizzazione - nome utente e password - viene trasferito sulla rete e confrontato con una tabella delle coppie nome-password che risiede nel server. E definito dall RFC 1334.

52 Fabio Pietrosanti - Yvette Agostini52 04 - Protocollo PAP (2) La password attraversa la rete in chiaro PAP non puo essere riutilizzato piu volte. PAP non offre grandi garanzie di sicurezza. Non e un metodo EAP ed e implementato solo nel tunnelled protocol EAP-TTSL

53 Fabio Pietrosanti - Yvette Agostini53 04 - Protocollo CHAP (1) CHAP(Challenge Authentication Password Protocol): lautenticatore invia, dopo aver stabilito la connessione, un challenge al client che chiede di essere autenticato. Il client prova di essere in possesso dello shared secret rispondendo al suo challenge.

54 Fabio Pietrosanti - Yvette Agostini54 04 - Protocollo CHAP (2) Puo essere utilizzato piu volte allinterno di una sessione per verificare se questa e stata hijackata. E definito secondo RFC 1994 Non supporta la mutua autenticazione. Richiede la disponibilita dello shared secret in chiaro Non e un metodo EAP ed e implementato solo nel tunnelled protocol EAP-TTSL.

55 Fabio Pietrosanti - Yvette Agostini55 04 - Protocollo CHAP (3) cleartext password challenge Random challenge R = MD5(password,challenge) 16-byte response Check that MD5(password,challenge) equals the response acknowledge Authenticator Peer cleartext password

56 Fabio Pietrosanti - Yvette Agostini56 04 - Protocollo MS-CHAP v1 MS-CHAP v1 e un protocollo proprietario creato da Microsoft che poi lo ha documentato nellRFC 2433 ed e molto simile al CHAP. Risolve il problema del dovere mantenere la password in chiaro su entrambi i peer Si basa sul concetto che il client, conoscendo lalgoritmo di cifratura (hashing) e la password, puo generare lhash di questa senza farla transitare in chiaro sulla rete. E particolarmente utilizzata in ambienti microsoft vista la sua compatibilita con i meccanismi di challenge response dellNTLM. Non e un metodo EAP ed e implementato solo nel tunnelled protocol EAP-TTSL.

57 Fabio Pietrosanti - Yvette Agostini57 04 - Protocollo MS-CHAP v2 MS-CHAP v2 e un protocollo proprietario creato da Microsoft come alternativa ad alcune vulnerabilita intrinseche della MS-CHAP v1. E documentato dall RFC 2759 Ha un migliore supporto per la generazione delle chiavi Supporta la mutua autenticazione Ha eliminato il supporto verso vecchi client (w95) E sia un metodo PPP che un metodo EAP Puo essere utilizzato cosi come e con EAP-TTSL E descritto come metodo EAP come EAP-MS-CHAP-V2 e puo essere usato nei tunneled protocol EAP-TTSL e PEAP

58 Fabio Pietrosanti - Yvette Agostini58 04 - Protocollo EAP (1) EAP (Extensible Authentication Protocol) e stato sviluppato per il PPP in risposta alla crescente richiesta di un sistema di autenticazione di utenti che accedono da un sistema remoto che consentisse di utilizzare altri dispositivi di protezione EAP (Extensible Authentication Protocol) e stato sviluppato per il PPP in risposta alla crescente richiesta di un sistema di autenticazione di utenti che accedono da un sistema remoto che consentisse di utilizzare altri dispositivi di protezione Fornisce un meccanismo standard per il supporto di metodi di autenticazione aggiuntivi nell'ambito delle connessioni PPP Fornisce un meccanismo standard per il supporto di metodi di autenticazione aggiuntivi nell'ambito delle connessioni PPP E LA BASE DELLAUTENTICAZIONE NEL Wi-Fi E LA BASE DELLAUTENTICAZIONE NEL Wi-Fi EAP La negoziazione a dopo

59 Fabio Pietrosanti - Yvette Agostini59 04 Protocollo EAP (2) È possibile aggiungere il supporto per altri schemi di autenticazione tra cui: È possibile aggiungere il supporto per altri schemi di autenticazione tra cui: Token card Token card Password temporanee Password temporanee Autenticazione di chiavi pubbliche tramite smart card Autenticazione di chiavi pubbliche tramite smart card Certificati Certificati La tecnologia EAP, insieme ai metodi di autenticazione EAP, è un componente essenziale per garantire connessioni protette su reti private virtuali che offre un elevato livello di protezione da La tecnologia EAP, insieme ai metodi di autenticazione EAP, è un componente essenziale per garantire connessioni protette su reti private virtuali che offre un elevato livello di protezione da Tentativi di accesso non autorizzato Tentativi di accesso non autorizzato Individuazione delle password superiore a qualsiasi altro metodo di autenticazione (compreso CHAP) Individuazione delle password superiore a qualsiasi altro metodo di autenticazione (compreso CHAP)

60 Fabio Pietrosanti - Yvette Agostini60 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

61 Fabio Pietrosanti - Yvette Agostini61 Vista la necessita di fornire un framework di controllo accessi per le reti ethernet e stato creato lo standard 802.1X. Vista la necessita di fornire un framework di controllo accessi per le reti ethernet e stato creato lo standard 802.1X. sfornato nel 1999, ratificata la versione 1 jun2001 sfornato nel 1999, ratificata la versione 1 jun2001 E stato da poco migliorato dall802.1aa E stato da poco migliorato dall802.1aa Senza 802.1x non sarebbe possibile authenticare dal layer2 gli utenti per laccesso alla rete ethernet Senza 802.1x non sarebbe possibile authenticare dal layer2 gli utenti per laccesso alla rete ethernet Pochi apparati e OS lo supportano Pochi apparati e OS lo supportano Si occupa di autenticare, non cifrare Si occupa di autenticare, non cifrare Si autentica un soggetto e non un oggetto Si autentica un soggetto e non un oggetto URL: http://www.ieee802.org/1/pages/802.1x.html URL: http://www.ieee802.org/1/pages/802.1x.htmlhttp://www.ieee802.org/1/pages/802.1x.html 05 - 802.1X port security

62 Fabio Pietrosanti - Yvette Agostini62 Requisiti che si vogliono raggiungere per il wifi con l802.1x Requisiti che si vogliono raggiungere per il wifi con l802.1x –Mutua autenticazione fra utente e network –Cifratura delle credenziali inviate –Generare dinamica chiavi crittografiche (WEP, TKIP, etc) I requisiti di una rete wired sono MOLTO diversi da una rete wireless I requisiti di una rete wired sono MOLTO diversi da una rete wireless 05 - 802.1X port security

63 Fabio Pietrosanti - Yvette Agostini63 802.1x utilizza per lautenticazione il framework EAP 802.1x utilizza per lautenticazione il framework EAP 05 - 802.1X port security, EAP

64 Fabio Pietrosanti - Yvette Agostini64 Esistono due protocolli per i messaggi Esistono due protocolli per i messaggi –EAPOL ( EAP over LAN ) usato per lautenticazione –EAPOW ( EAP over WirelessLAN) usato per il delivery della chiave WEP e per linizio della sessione –EAPOL ha un ethertype dedicato 0x888e Ci sono tre elementi: Ci sono tre elementi: –Supplicant –Authenticator –Authentication server (RADIUS) 05 - 802.1X port security, protocolli

65 Fabio Pietrosanti - Yvette Agostini65 05 - Terminologia IEEE 802.1x SupplicantAuthentication ServerAuthenticator Operates on clientEAP plug-in goes in RADIUS server Operates on devices at network edge, like APs and switches semi-public network EAP over RADIUS RADIUS server Controlled port: Data traffic Open port: Authentication traffic

66 Fabio Pietrosanti - Yvette Agostini66 Laptop computer Ethernet Bridge Radius Server 05 - 802.1x over 802.3 EAPOL-Start EAP-Response/Identity Radius-Access-Challenge EAP-Response (cred) Access blocked Port connect Radius-Access-Accept Access allowed EAP-Request/Identity EAP-Request EAP-Success Radius-Access-Request RADIUS EAPOL

67 Fabio Pietrosanti - Yvette Agostini67 Ethernet Access Point Radius Server 05 - 802.1X over 802.11 EAPOW-Start EAP-Response/Identity Radius-Access-Challenge EAP-Response (credentials) Access blocked Association Radius-Access-Accept EAP-Request/Identity EAP-Request Radius-Access-Request RADIUS EAPOW Laptop computer Wireless 802.11 802.11 Associate-Request EAP-Success Access allowed EAPOW-Key (WEP) 802.11 Associate-Response

68 Fabio Pietrosanti - Yvette Agostini68 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

69 Fabio Pietrosanti - Yvette Agostini69 Extensible Authentication Protocol e un framework di autenticazione defintio secondo RFC 2284 Extensible Authentication Protocol e un framework di autenticazione defintio secondo RFC 2284 Consiste di diversi schemi di autenticazione detti metodi EAP Consiste di diversi schemi di autenticazione detti metodi EAP Originalmente definito per il PPP con pochi metodi standard Originalmente definito per il PPP con pochi metodi standard –plain password hash (MD5) (non mutua) –GSS-API (Kerberos) –OTP Tokens (non mutua) –TLS (based on X.509 certificates) Le implementazioni proprietarie sono molteplici e le strategie per favorirne la diffusione ancora di piu Le implementazioni proprietarie sono molteplici e le strategie per favorirne la diffusione ancora di piu 06 – Extensible authentication protocol

70 Fabio Pietrosanti - Yvette Agostini70 06 - Architettura EAP secondo standard EAPLayer MethodLayer EAPEAP TLSTLS MediaLayer NDISAPIs EAPAPIs PPP802.3802.5802.11 SRPSRPAKASIMAKASIM

71 Fabio Pietrosanti - Yvette Agostini71 06 - I metodi EAP EAP-MD5 (type 4) EAP-MD5 (type 4) EAP-SIM / EAP-AKA EAP-SIM / EAP-AKA EAP-LEAP EAP-LEAP EAP-TLS Transport Layer Security (type 13) EAP-TLS Transport Layer Security (type 13) EAP-TTLS Tunnelled TLS (type 21) EAP-TTLS Tunnelled TLS (type 21) EAP-PEAP Protected EAP (type 25) EAP-PEAP Protected EAP (type 25) Fast EAP (Cisco atto secondo) Fast EAP (Cisco atto secondo) Lista completa: http://www.iana.org/assignments/ppp- numbers Lista completa: http://www.iana.org/assignments/ppp- numbers

72 Fabio Pietrosanti - Yvette Agostini72 06 - EAP-MD5 E simile al chap E simile al chap Viene calcolato lhash md5 e inviato in chiaro Viene calcolato lhash md5 e inviato in chiaro E intercettabile lhash e attaccabile a bruteforce e man in the middle E intercettabile lhash e attaccabile a bruteforce e man in the middle Non supporta la mutua autenticazione Non supporta la mutua autenticazione Non supporta la derivazione della chiave wep dinamica Non supporta la derivazione della chiave wep dinamica NON VA USATO!!! NON VA USATO!!!

73 Fabio Pietrosanti - Yvette Agostini73 06 - EAP-MD5 schema identity-request AuthenticatorPeer identity-response (username) success or failure MD5-challenge-request MD5-challenge-response cleartext password R = MD5(password,challenge) cleartext password Check that MD5(password,challenge) equals the response Random challenge

74 Fabio Pietrosanti - Yvette Agostini74 06 - EAP-SIM / EAP-AKA Destinato allutilizzo nelle PWLAN Destinato allutilizzo nelle PWLAN Rilasciate pochi giorni fa WLAN-SIM 1.0 http://wlansmartcard.org che include 802.1x, EAP su tls e WPA Rilasciate pochi giorni fa WLAN-SIM 1.0 http://wlansmartcard.org che include 802.1x, EAP su tls e WPA http://wlansmartcard.org Concettualmente simile a EAP-TLS per il funzionamento delle SIM e USIM Concettualmente simile a EAP-TLS per il funzionamento delle SIM e USIM Entrato a far parte degli standard 3GPP Entrato a far parte degli standard 3GPP Supporta il fast reconnect Supporta il fast reconnect Sara utilizzatissimo secondo alcune strategie Sara utilizzatissimo secondo alcune strategie

75 Fabio Pietrosanti - Yvette Agostini75 06 - EAP-LEAP Protocollo proprietario Cisco basato su username e password per le credenziali. Protocollo proprietario Cisco basato su username e password per le credenziali. Utilizzato da cisco per introdurre TKIP e MIC proprietari Utilizzato da cisco per introdurre TKIP e MIC proprietari Attaccabile tramite brute force ( cisco cerca di fare migrare verso PEAP ) Attaccabile tramite brute force ( cisco cerca di fare migrare verso PEAP ) Disclosure della vulnerabilita LEAP Disclosure della vulnerabilita LEAP Statistiche dicono che nel mondo enterprise rappresenta il 46% degli schemi di autenticazione Statistiche dicono che nel mondo enterprise rappresenta il 46% degli schemi di autenticazione

76 Fabio Pietrosanti - Yvette Agostini76 06 - EAP-LEAP Start broadcast key identity AP sends client broadcast key, encrypted with session key AP blocks all requests until authentication completes identity RADIUS server authenticates client Request identity Client authenticates RADIUS server key length client AP RADIUS server Derive key Derive key

77 Fabio Pietrosanti - Yvette Agostini77 06 - EAP-TLS (1) E il protocollo EAP che usa solo TLS E il protocollo EAP che usa solo TLS Definito secondo (RFC 2716) Definito secondo (RFC 2716) TLS gestisce la negoziazione di: TLS gestisce la negoziazione di: – crittografia – mutua autenticazione – key management. EAP-TLS definisce lo scambio di messaggi EAP fra client e server EAP-TLS definisce lo scambio di messaggi EAP fra client e server –Identity Request/Response, TLS Start, TLS client_hello, TLS server_hello, etc.

78 Fabio Pietrosanti - Yvette Agostini78 06 - EAP-TLS (2) E il piu sicuro dei protocolli basati su TLS E il piu sicuro dei protocolli basati su TLS Supporta il delivery della chiave WEP dinamica Supporta il delivery della chiave WEP dinamica Lentropia e le funzioni crittografiche del TLS sono utili per la generazione delle chiavi WEP/TKIP/CCMP Lentropia e le funzioni crittografiche del TLS sono utili per la generazione delle chiavi WEP/TKIP/CCMP Richiede lesistenza o limplementazione di una PKI Richiede lesistenza o limplementazione di una PKI La gestione dei certificati digitali client side e estremamente onerosa La gestione dei certificati digitali client side e estremamente onerosa

79 Fabio Pietrosanti - Yvette Agostini79 06 - EAP-TLS Authentication RADIUS server EAPOL Start EAP-Request/Identity EAP -Response/Identity (UserID) EAP success RADIUS Access request Start EAP Authentication Ask client for identity Access Request with UserID Deliver broadcast key encrypted with session key && session parameters Perform sequence defined by EAP-TLS AP Client derives session key …. ke y RADIUS Access success (Pass session key to AP) EAPOL-Key (multicast) EAPOL-Key (session parameters) Supplicant Enterprise Network Server-side TLS Client-side TLS

80 Fabio Pietrosanti - Yvette Agostini80 06 - EAP-TLS Authentication RADIUS server AP [EAP-Type=EAP-TLS, Start bit set, no data] EAP-TLS Start [EAP-Type=EAP-TLS (TLS client_hello)] EAP-Response EAP-Request [EAP-Type=EAP-TLS (TLS server_hello, TLS certificate, TLS server_key_exchange, TLS certificate_request, TLS server_hello_done)] [EAP-Type=EAP-TLS (TLS certificate, TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_spec, TLS finished)] EAP-Response [EAP-Type=EAP-TLS (TLSchange_cipher_spec, TLS finished)] EAP-Request [EAP-Type=EAP-TLS] EAP-Response EAP-Success Supplicant Enterprise Network

81 Fabio Pietrosanti - Yvette Agostini81 06 - I tunneled protocol Per utilizzare i metodi di autenticazione tradizionali e necessario creare un canale di comunicazione sicuro Per utilizzare i metodi di autenticazione tradizionali e necessario creare un canale di comunicazione sicuro Per fare cio si utilizza il TLS dando vita ai metodi EAP- TTLS e EAP-PEAP Per fare cio si utilizza il TLS dando vita ai metodi EAP- TTLS e EAP-PEAP Il vantaggio e lutilizzo dei vecchi metodi di autenticazione senza dovere cambiare infrastrutture Il vantaggio e lutilizzo dei vecchi metodi di autenticazione senza dovere cambiare infrastrutture Lo svantaggio e che recentemente sono stati dimostrati alcuni attacchi man in the middle se non si prendono particolari precauzioni Lo svantaggio e che recentemente sono stati dimostrati alcuni attacchi man in the middle se non si prendono particolari precauzioni

82 Fabio Pietrosanti - Yvette Agostini82 06 - EAP-TTLS E stato sviluppato in risposta alla complessita dimplementazione di EAP-TLS E stato sviluppato in risposta alla complessita dimplementazione di EAP-TLS E estremamente simile al EAP-PEAP consentendo di utilizzare vecchi metodi di autenticazione mantenendo la sicurezza data dal TLS E estremamente simile al EAP-PEAP consentendo di utilizzare vecchi metodi di autenticazione mantenendo la sicurezza data dal TLS E un protocollo a due stadi, il primo dei quali server per creare un canale di comunicazione sicuro E un protocollo a due stadi, il primo dei quali server per creare un canale di comunicazione sicuro Il secondo stadio e normale scambio di credenziali secondo protocolli standard (pap, chap, mschapv1/v2) Il secondo stadio e normale scambio di credenziali secondo protocolli standard (pap, chap, mschapv1/v2) Proposto originariamente dalla funk software draft-ieft- pppext-eap-ttls-02.txt Proposto originariamente dalla funk software draft-ieft- pppext-eap-ttls-02.txt

83 Fabio Pietrosanti - Yvette Agostini83 06 - EAP-TTLS i partecianti Client NAS (EAP,AAA) TTLS Server (TLS,AAA) AAA Server EAP-TTLS conversation, TLS Channel Authenticate (EAP, PAP, CHAP, etc) Link Layer (PPP, 802.11) Authentication Protocol (Radius) Authentication, Authorizing and/or Accounting protocol (come radius )

84 Fabio Pietrosanti - Yvette Agostini84 06 - EAP-TTLS formato del pacchetto Code Type Identifier Flags Length TLS Message Length… …TLS Message LengthTLS Data…. Ver Code: 1- Request 2- Response Identifier – Used to match response to request Type- 21 (EAP-TTLS) Flags: Length included, More fragments, Start flag contiene AVPs, che incapsula le informazioni di autenticazione (PAP/CHAP/...)

85 Fabio Pietrosanti - Yvette Agostini85 06 - EAP-TTLS AVP Nel PEAP le informazioni scambiate fra client e server sul tunnel TLS sono altri pacchetti EAP (EAP-MSCHAP-V2) mentre in EAP-TTLS sono scambiati AVP: Nel PEAP le informazioni scambiate fra client e server sul tunnel TLS sono altri pacchetti EAP (EAP-MSCHAP-V2) mentre in EAP-TTLS sono scambiati AVP: – attribute-values pairs Il formato AVP e formato dellEAP-TTLS e compatibile con il formato AVP del radius facilitando le operazioni di forwarding delle autenticazioni fra authenticators e authentication server Il formato AVP e formato dellEAP-TTLS e compatibile con il formato AVP del radius facilitando le operazioni di forwarding delle autenticazioni fra authenticators e authentication server

86 Fabio Pietrosanti - Yvette Agostini86 06 - EAP-TTLS – Fase 1 EAP- Response / Identity [My Domain] EAP-Request (Type= EAP-TTLS, start) TLS Handshake Client TTLS Server EAP- Response (empty) EAP-Request / Identity

87 Fabio Pietrosanti - Yvette Agostini87 06 - EAP-TTLS – Fase 2 ClientTTLS Server AAA Server Scambio di AVP sul canale TLS di EAP- TTLS AVPs (extracted from the TTLS records) EAP-Success/ EAP-Failure Success/Failure Scambio messaggi radius I messaggi di scambio TTLS usano lAP solo come pass-trough

88 Fabio Pietrosanti - Yvette Agostini88 06 - EAP-TTLS – Esempio LAN Client Access Point TTLS Server AAA Radius Utilizzo del CHAP per autenticare il client Negoziazione degli algoritmi crittografici e chiavi

89 Fabio Pietrosanti - Yvette Agostini89 06 - EAP-TTLS – Esempio (1) Client Access Point TTLS Server AAA Radius EAP-Request/Identity EAP-Response/Identity Radius Access Request: Data-Cipher-Suite+ EAP-Response/Identity Radius Access Challenge: EAP-Request/TTLS-Start EAP-Request/TTLS-Start EAP-Response/TTLS: client_hello RAR: EAP-Response/TTLS: client_hello RAC: EAP-Request/TTLS (server_hello,certificate, server_key_exchange,server_hello_done)

90 Fabio Pietrosanti - Yvette Agostini90 06 - EAP-TTLS – Esempio (2) Client Access Point TTLS Server AAA Radius EAP-Request/TTLS (server_hello,certificate,server_key_exchange,srv_hello_done) EAP-Response/TTLS (client_key_exchange,CCS,client_finish) RAR: EAP-Response/TTLS (client_key_exchange,CCS,client_finish) RAC: EAP-Request/TTLS (CCS, server_finish) EAP-Request/TTLS (CCS, server_finish) EAP-Response/TTLS (user_name, CHAP-Challenge&Password) Data-CipherSuite+ RAR: User_name, CHAP-Challenge, Chap-Password RAR: EAP-Response/TTLS (user_name, CHAP-Challenge, CHAP-Password) +Data-CipherSuite

91 Fabio Pietrosanti - Yvette Agostini91 06 - EAP-TTLS – Esempio (3) Client Access Point TTLS Server AAA Radius Radius Access-Accept [RAA] RAC: EAP-Request/TTLS (Data-Cipher-Suite) EAP-Request/TTLS (Data-Cipher-Suite) EAP-Response (No data) RAR: EAP-Response (No data) RAA: Data-Cipher-Suite, Data-Keying-Material, EAP-Success EAP-Success Mutua autenticazione ok! Parametri di cifratura e chiave ok!

92 Fabio Pietrosanti - Yvette Agostini92 06 - PEAP Proposal in internet draft di Cisco, Microsoft, RSA Security (draft-josefsson-pppext-eap-tls-eap-02.txt) Proposal in internet draft di Cisco, Microsoft, RSA Security (draft-josefsson-pppext-eap-tls-eap-02.txt) Autenticazione a 2 fasi Autenticazione a 2 fasi –Nella fase 1 viene autenticato il server creando un canale sicuro ( come SSL con amazon.com) –Nella fase 2 viene usato EAP sul canale sicuro. Supporterebbe vari metodi di autenticazione(GTC,MD5,etc) ma di fatto lunico e EAP-MSCHAP-V2 Richiede certificato digitale solo lato server Richiede certificato digitale solo lato server Supplicant solo per sistemi Microsoft Supplicant solo per sistemi Microsoft Authentication server Microsoft IAS, Cisco ACS Authentication server Microsoft IAS, Cisco ACS

93 Fabio Pietrosanti - Yvette Agostini93 06 - PEAP Authentication ( il tunnel) Start broadcast key AP invia client broadcast key, encrypted with session key AP blocks all requests until authentication completes identity Request identity Encrypted Tunnel Established key length client AP RADIUS server Certificate Authority Server certificate identity Server certificate Server Side Authentication Client Side Authentication Client AAA Server EAP in EAP Authentication

94 Fabio Pietrosanti - Yvette Agostini94 06 - PEAP Authentication (802.1x view) RADIUS server EAPOL Start EAP-Request/Identity EAP -Response/Identity (NAI) EAP success RADIUS Access request Start EAP Authentication Ask client for identity Access Request with NAI Deliver broadcast key encrypted with session key && session parameters Perform sequence defined by PEAP AP Client derives session key ke y RADIUS Access success (Pass session key to AP) EAPOL-Key (multicast) EAPOL-Key (session parameters) Supplicant Enterprise Network Server-side TLS Client-side Authentication

95 Fabio Pietrosanti - Yvette Agostini95 06 - PEAP - Fase 1: Server-side TLS RADIUS server AP [EAP-Type=PEAP, Start bit set, no data] EAP-Request (TLS Start) [EAP-Type=PEAP (TLS client_hello)] EAP-Response EAP-Request [EAP-Type=PEAP (TLS server_hello, TLS certificate, TLS server_key_exchange, TLS certificate_request, TLS server_hello_done)] [EAP-Type=PEAP (TLS client_key_exchange, TLS change_cipher_spec, TLS finished)] EAP-Response [EAP-Type=PEAP (TLSchange_cipher_spec, TLS finished)] EAP-Request [EAP-Type=PEAP] EAP-Response Supplicant Enterprise Network

96 Fabio Pietrosanti - Yvette Agostini96 06 - PEAP - Fase 2: Client- side Authentication AP [EAP-Type=PEAP TLS Record {ContentType= application data ( EAP-Request (EAP-Type= Generic Token Card)) }] EAP-Request EAP-Response EAP-Request EAP-Response EAP-Success [EAP-Type=PEAP] Supplicant Enterprise Network [EAP-Type=PEAP TLS Record {ContentType= application data ( EAP-Response (EAP-Type= Generic Token Card)) }] [EAP-Type=PEAP TLS Record {ContentType= application data ( EAP-Success) }] RADIUS server OTP server

97 Fabio Pietrosanti - Yvette Agostini97 06 - Riassumento i tunnelled protocols EAP-TLS e complesso e costoso da gestire ma si integra perfettamente dove ce gia una PKI EAP-TLS e complesso e costoso da gestire ma si integra perfettamente dove ce gia una PKI PEAP e implementato solo su sistemi microsoft PEAP e implementato solo su sistemi microsoft PEAP e solo allinizio di una lunga fase di testing PEAP e solo allinizio di una lunga fase di testing EAP-TTLS e standard, supportato dalla maggioranza degli access point e implementato in quasi tutti i client ma poco diffuso. Si puo usare radius opensource (freeradius) EAP-TTLS e standard, supportato dalla maggioranza degli access point e implementato in quasi tutti i client ma poco diffuso. Si puo usare radius opensource (freeradius) Sono resistenti ai seguenti attacchi: Sono resistenti ai seguenti attacchi: –Man in the middle attacks –intercettazione user ID & password –Session hijacking

98 Fabio Pietrosanti - Yvette Agostini98 Scegliere Cisco LEAP significa vincolarsi allhardware Cisco ( al massimo client Apple ) Scegliere Cisco LEAP significa vincolarsi allhardware Cisco ( al massimo client Apple ) Anche cisco sta spingendo PEAP come alternativa Anche cisco sta spingendo PEAP come alternativa La decisione va presa sulla base della struttura di autenticazione esistente, se si dispone di una PKI conviene EAP-TLS La decisione va presa sulla base della struttura di autenticazione esistente, se si dispone di una PKI conviene EAP-TLS Altrimenti le scelte sono fra PEAP e TTLS. Altrimenti le scelte sono fra PEAP e TTLS. Il futuro monopolio nel mercato degli hotspot del Microsoft WPS imporra PEAP Il futuro monopolio nel mercato degli hotspot del Microsoft WPS imporra PEAP 06 - La scelta del metodo EAP

99 Fabio Pietrosanti - Yvette Agostini99 06 - RADIUS & EAP Microsoft Microsoft –OS Support: Windows 2000 Server, Windows.NET Server –EAP Methods: EAP-MD5, EAP-TLS Cisco Secure ACS v3.0 For Windows Cisco Secure ACS v3.0 For Windows –OS Support: Windows NT Server 4.0, Windows 2000 Server –EAP Methods: Cisco LEAP, EAP-CHAP, EAP-TLS Funk Odyssey Funk Odyssey –OS Support: Windows 2000 Server, Solaris, Netware, –EAP Methods: EAP-TLS, EAP-TTLS, EAP-MD5, Cisco LEAP Interlink Interlink –OS Support: Solaris, HP-UX, Tru64 Unix, Red Hat Linux –EAP Methods: EAP-MD5, Cisco LEAP FreeRadius FreeRadius –OS Support: Linux, Solaris, HP-UX, AIX, OS/2, MINGW32 –EAP Methods: EAP-MD5

100 Fabio Pietrosanti - Yvette Agostini100 06 - Wired/Wireless SUPPLICANT support Microsoft Microsoft –OS Support: Windows XP –EAP Methods: EAP-MD5, EAP-TLS Meeting House Data Communications Meeting House Data Communications –OS Support: Win 98/ME, Win NT, Win 2000, Linux –EAP Methods: EAP-MD5, EAP-TLS Funk Odyssey Client Funk Odyssey Client –OS Support: Windows XP/NT/2000/98/ME –EAP Methods: EAP-MD5, EAP-TLS, EAP-TTLS, Cisco LEAP University of Maryland Open1X University of Maryland Open1X –OS Support: Linux, FreeBSD –EAP Methods: EAP-TLS Cisco 802.11 LEAP Supplicant Cisco 802.11 LEAP Supplicant –OS Support:Win XP/NT/2000/98/95/ME/CE, Linux, Mac OS 9.X –EAP Methods: Cisco LEAP

101 Fabio Pietrosanti - Yvette Agostini101 06 - Ethernet AUTHENTICATORS HP HP –Products: ProCurve 25xx, 410x, 530x Cisco Cisco –Products: Catalyst 2950*, 3550, 4000, 5000, 6000 Enterasys Enterasys –Products: Matrix E7/E6 Blades Firmware 5.02.03 Nortel Nortel –Products: BayStack 450T, Business Policy Switch

102 Fabio Pietrosanti - Yvette Agostini102 06 - 802.11 AUTHENTICATORS Cisco Cisco – Aironet Enterasys Enterasys – RoamAbout R2 Agere System Orinoco Agere System Orinoco – AP-2000 Access Point 3Com 3Com –WLAN Access Point 8000

103 Fabio Pietrosanti - Yvette Agostini103 06 - Proteggere il layer2 con il layer3 Il 31% delle soluzioni WLAN enterprise si basa sullutilizzo di VPN Il 31% delle soluzioni WLAN enterprise si basa sullutilizzo di VPN VPN IPSec rendono sicuro il layer3 VPN IPSec rendono sicuro il layer3 Aumentano la complessita e il costo dellinfrastruttura Aumentano la complessita e il costo dellinfrastruttura Se non ben pianificate sono molto piu pericolose del wifi Se non ben pianificate sono molto piu pericolose del wifi Vengono spesso usate per soluzioni di WLAN VPN P-to-P e P-to-MP Vengono spesso usate per soluzioni di WLAN VPN P-to-P e P-to-MP

104 Fabio Pietrosanti - Yvette Agostini104 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

105 Fabio Pietrosanti - Yvette Agostini105 07 - 802.11i 802.11i risolvera finalmente i problemi di sicurezza dell802.11 802.11i risolvera finalmente i problemi di sicurezza dell802.11 Nella sua versione definitiva sara necessario un cambio di hardware a causa della potenza di calcolo necessaria Nella sua versione definitiva sara necessario un cambio di hardware a causa della potenza di calcolo necessaria Utilizza 802.1x per lautenticazione Utilizza 802.1x per lautenticazione I suoi elementi sono: I suoi elementi sono: –WPA ( Wi-Fi Protected Access ) –TKIP ( Temporal Key Integrity Protocol) –Message Integrity Check ( Michael ) –RSN (Robust Security Network) 802.11i non e ancora definito completamente ma alcune sue feature sono ready for the market e gia utilizzate 802.11i non e ancora definito completamente ma alcune sue feature sono ready for the market e gia utilizzate

106 Fabio Pietrosanti - Yvette Agostini106 07 - 802.11i Security: WPA1 IL WPA nella versione 1 si basa sul TKIP IL WPA nella versione 1 si basa sul TKIP Una pre-implementazione del TKIP e stata fatta da Cisco nella sua soluzione proprietaria LEAP Una pre-implementazione del TKIP e stata fatta da Cisco nella sua soluzione proprietaria LEAP TKIP elimina la necessita di dovere cambiare hardware innalzando il livello di sicurezza TKIP elimina la necessita di dovere cambiare hardware innalzando il livello di sicurezza E una versione modificata del WEP E una versione modificata del WEP –Si basa ancora su RC4 –Include initialization vectors a 48-bit (anziche 24) –Ha funzionalita di derivazione e distribuzione della chiave (rekyeing) –Message Integrity Check sicuro (michael)

107 Fabio Pietrosanti - Yvette Agostini107 07 - 802.11i Security: WPA1 Con TKIP la chiave cambia ogni 10000 pacchetti ed e derivata da chiave temporanea+Mac address sorgente + IV di RC4 Con TKIP la chiave cambia ogni 10000 pacchetti ed e derivata da chiave temporanea+Mac address sorgente + IV di RC4

108 Fabio Pietrosanti - Yvette Agostini108 07 - 802.11i Security: WPA1 Gli schemi di autenticazione del WPA possibili sono due: Gli schemi di autenticazione del WPA possibili sono due: – EAP – PSK ( Pre Shared Key ) WPA-PSK richiede la configurazione di una master key sugli AP e sui client. Ci pensera TKIP a cambiare la chiave di sessione e gestirne il rinnovo periodico. WPA-PSK richiede la configurazione di una master key sugli AP e sui client. Ci pensera TKIP a cambiare la chiave di sessione e gestirne il rinnovo periodico. EAP, nelle sue declinazioni supporta gia meccanismi per derivare la chiave EAP, nelle sue declinazioni supporta gia meccanismi per derivare la chiave WPA 1 non e attualmente utilizzabile nelle reti ad- hoc WPA 1 non e attualmente utilizzabile nelle reti ad- hoc Attualmente supportato da patch microsoft Q815485 e client commerciali (AEGIS) Attualmente supportato da patch microsoft Q815485 e client commerciali (AEGIS)

109 Fabio Pietrosanti - Yvette Agostini109 07 - 802.11i WPA2 La versione 2 del WPA sara integrata con la versione completa di 802.11i La versione 2 del WPA sara integrata con la versione completa di 802.11i WPA 2 si basa sul CCMP (Counter-Mode CBC-MAC Protocol) anche conosciuto come AES privacy algoritm WPA 2 si basa sul CCMP (Counter-Mode CBC-MAC Protocol) anche conosciuto come AES privacy algoritm Con 802.11i e WPA2 si utilizza l RSN (Robust Security Network), che include meccanismi di negoziazione dinamica delle informazioni di autenticazione e cifratura tramite i RSN Information Element Con 802.11i e WPA2 si utilizza l RSN (Robust Security Network), che include meccanismi di negoziazione dinamica delle informazioni di autenticazione e cifratura tramite i RSN Information Element RSN prevede gia lintroduzione di nuovi schemi di autenticazione se necessario bma per la cifratura i 256bit di AES possono resistere fino alla venuta della crittografia quantistica RSN prevede gia lintroduzione di nuovi schemi di autenticazione se necessario bma per la cifratura i 256bit di AES possono resistere fino alla venuta della crittografia quantistica Il TKIP sara opzionale ma garantira ai device Pre-RSN di funzionare tramite aggiornamento software Il TKIP sara opzionale ma garantira ai device Pre-RSN di funzionare tramite aggiornamento software

110 Fabio Pietrosanti - Yvette Agostini110 07 - Riassunto WEP/TKIP/CCMP WEPTKIPCCMP WEPTKIPCCMP Cipher RC4RC4AES Key Size 40 or 104 bits128 bits128 bits encryption, encryption, 64 bit auth Key Life 24-bit IV, wrap48-bit IV48-bit IV Packet Key Concat.Mixing FncNot Needed Integrity Data CRC-32MichaelCCM Header NoneMichaelCCM Replay NoneUse IV Use IV Key Mgmt. NoneEAP-basedEAP-based Data Transfer

111 Fabio Pietrosanti - Yvette Agostini111 Fino allintroduzione dell802.11i (Robust Security Network) le reti wireless NON possono considerarsi sicure!! Fino allintroduzione dell802.11i (Robust Security Network) le reti wireless NON possono considerarsi sicure!! e anche dopo non saranno immuni a denial of service e anche dopo non saranno immuni a denial of service 100% anonimi quindi NON affidabili come una wired. 100% anonimi quindi NON affidabili come una wired. 07 - Conclusione sugli standard

112 Fabio Pietrosanti - Yvette Agostini112 Introduzione di WEP128bit: Cambio Firmware Introduzione di WEP128bit: Cambio Firmware Introduzione randomicita IV: Cambio firmware Introduzione randomicita IV: Cambio firmware Introduzione TKIP+MIC=WPA1: Cambio firmware Introduzione TKIP+MIC=WPA1: Cambio firmware Introduzione CCMP+RSN=WPA2: Cambio hardware Introduzione CCMP+RSN=WPA2: Cambio hardware 07 - Una vita di upgrade

113 Fabio Pietrosanti - Yvette Agostini113 01 introduzione alle tecnologie wireless 01 introduzione alle tecnologie wireless 02 Wi-Fi funzionamento e stack del protocollo 02 Wi-Fi funzionamento e stack del protocollo 03 Wi-Fi Il WEP 03 Wi-Fi Il WEP 04 Protocolli di autenticazione 04 Protocolli di autenticazione 05 801.1X port security 05 801.1X port security 06 I metodi EAP 06 I metodi EAP 07 802.11i lo standard venturo 07 802.11i lo standard venturo 08 Auditing network 802.11 08 Auditing network 802.11 Agenda

114 Fabio Pietrosanti - Yvette Agostini114 Fare auditing significa controllare cosa accade alla nostra rete Fare auditing significa controllare cosa accade alla nostra rete Per controllare la rete significa conoscere gli attacchi per poterli riconoscere Per controllare la rete significa conoscere gli attacchi per poterli riconoscere Gli attacchi possono essere mirati a: Gli attacchi possono essere mirati a: –Acquisire informazioni sugli utenti ( rubare le credenziali di accesso ) –Accedere alla rete wireless per fini illeciti –Causare interruzzioni di servizio per sabotaggi ( Denial of service ) 08 - Auditing di infrastrutture wireless

115 Fabio Pietrosanti - Yvette Agostini115 Detecting rouge access point Detecting rouge access point –Analisi periodica con strumenti come kismet/netstumbler –Utilizzo di network intrusion detection wireless Detecting illegal user e intrusion attempt Detecting illegal user e intrusion attempt –Strumenti di analisi dei log –Honeypot wireless –FakeAP Distruggi la tua rete per sondarne laffidabilita: Denial Of Service Distruggi la tua rete per sondarne laffidabilita: Denial Of Service –Jamming del segnale –Airjack –RTS Flood 08 – Auditing way

116 Fabio Pietrosanti - Yvette Agostini116 Computer portatili e palmari intelligenti (con linux!!!) Computer portatili e palmari intelligenti (con linux!!!) Schede wireless potenti (200mw) Schede wireless potenti (200mw) Schede wireless con chipset prism2 (attenzione!!) Schede wireless con chipset prism2 (attenzione!!) Schede wireless con antenna diversity Schede wireless con antenna diversity Antenne direttive e antenne omnidirezionali Antenne direttive e antenne omnidirezionali 08 – Auditing equipment

117 Fabio Pietrosanti - Yvette Agostini117 Un concetto importantissimo di cui bisogna rendersi conto e che le reti wireless, per quanto si possano rendere sicure sono e rimarranno Un concetto importantissimo di cui bisogna rendersi conto e che le reti wireless, per quanto si possano rendere sicure sono e rimarranno FRAGILI FRAGILI Fragili perche il media e condiviso e chiunque puo accedervi in modo completamente anonimo. Fragili perche il media e condiviso e chiunque puo accedervi in modo completamente anonimo. 08 - Fragilita delle reti wireless

118 Fabio Pietrosanti - Yvette Agostini118 Usati nel wardriving Usati nel wardriving Usabili in azienda per rilevare access point e client non autorizzati (LTBACarabinieri) Usabili in azienda per rilevare access point e client non autorizzati (LTBACarabinieri) Richiede schede che supportino il monitor mode e il channel hopping Richiede schede che supportino il monitor mode e il channel hopping Alcuni implementano funzionalita di cracking WEP Alcuni implementano funzionalita di cracking WEP Si dividono in: Si dividono in: –Attivi ( netstumber, ministumbler) –Passivi (Wellenreiter, kismet, airsnort, IBM WSA) 08 - Discovery access point: Kismet, Netstumbler, etc

119 Fabio Pietrosanti - Yvette Agostini119 Veri strumenti di monitoraggio reti wireless Veri strumenti di monitoraggio reti wireless Non rilevano attacchi a livelli superiori ( vedi snort, ISS RealSecure, etc ) come un normale Non rilevano attacchi a livelli superiori ( vedi snort, ISS RealSecure, etc ) come un normale Le soluzioni enterprise sono molto costose Le soluzioni enterprise sono molto costose Richiedono lintegraziane con lanalisi dei log degli access point Richiedono lintegraziane con lanalisi dei log degli access point 08 - Discovery access point: Network Intrusion Detection

120 Fabio Pietrosanti - Yvette Agostini120 Una honeypot cerca di attrarre attaccanti per capirne il comportamento Una honeypot cerca di attrarre attaccanti per capirne il comportamento Utilizzare unaccess point dedicato su una rete scollegata dalla rete aziendale Utilizzare unaccess point dedicato su una rete scollegata dalla rete aziendale Utilizzare sniffer su questa rete Utilizzare sniffer su questa rete Ogni collegamento su questa rete e sospetto Ogni collegamento su questa rete e sospetto Utilizzare un nome che richiama palesemente alla vostra infrastruttura Utilizzare un nome che richiama palesemente alla vostra infrastruttura La fantasia vi aiutera La fantasia vi aiutera 08 - Wireless honeypot

121 Fabio Pietrosanti - Yvette Agostini121 HostAP+Dns hijacking+Web Server = sniff the hotspot HostAP+Dns hijacking+Web Server = sniff the hotspot http://airsnarf.shmoo.com/ http://airsnarf.shmoo.com/ 08 - Airsnarf, rubare password dei wireless hotspot

122 Fabio Pietrosanti - Yvette Agostini122 Generare milioni di pacchetti con SSID randomici, chiavi wep randomiche, mac address randomiche Generare milioni di pacchetti con SSID randomici, chiavi wep randomiche, mac address randomiche Impedisce allattacker di identificare la rete reale confondendo il suo tool di scanning Impedisce allattacker di identificare la rete reale confondendo il suo tool di scanning Fa bloccare anche il discovery di reti da parte di client (richiede impostazione manuale di ssid) Fa bloccare anche il discovery di reti da parte di client (richiede impostazione manuale di ssid) http://www.blackalchemy.to/Projects /fakeap/fake-ap.html http://www.blackalchemy.to/Projects /fakeap/fake-ap.html http://www.blackalchemy.to/Projects /fakeap/fake-ap.html http://www.blackalchemy.to/Projects /fakeap/fake-ap.html 08 - Fake AP, proteggere le infrastrutture con il rumore

123 Fabio Pietrosanti - Yvette Agostini123 Tramite il replaying di alcuni pacchetti broadcast (arp) o unicast(tcp acks) e possibile accellerare il cracking del WEP Tramite il replaying di alcuni pacchetti broadcast (arp) o unicast(tcp acks) e possibile accellerare il cracking del WEP Utilizzare reinj.c di bsdairtools per forgiare pacchetti visti on the air che rappresentano arp- request per sniffare le arp-reply e il relativo IV Utilizzare reinj.c di bsdairtools per forgiare pacchetti visti on the air che rappresentano arp- request per sniffare le arp-reply e il relativo IV 08 - Wep cracking accelleration

124 Fabio Pietrosanti - Yvette Agostini124 08 - Man in the middle attacks MITM Attack MITM Attack –Inserire un access point fra laccess point reale e il client –Lattacco richiede la vicinanza allobbiettivo dellattacco –Due schede wireless AirJack by Abaddon AirJack by Abaddon –Monkey_Jack –Kracker_Jack (ipsec) –Include tool di denial of service

125 Fabio Pietrosanti - Yvette Agostini125 08 - Monkey-Jack Lattaccante lancia un DOS sulla rete wifi inviando Deassociation e Deauthentication request per tutti i client Lattaccante lancia un DOS sulla rete wifi inviando Deassociation e Deauthentication request per tutti i client La vittima cerca un nuovo AP La vittima cerca un nuovo AP La vittima si associa al nostro AP fake La vittima si associa al nostro AP fake Lattaccante si associa allAP reale Lattaccante si associa allAP reale Adesso la macchina dellattaccante fa da proxy fra lAP reale e quello fake in modo trasparente Adesso la macchina dellattaccante fa da proxy fra lAP reale e quello fake in modo trasparente

126 Fabio Pietrosanti - Yvette Agostini126 08 - Prima di Monkey- Jack

127 Fabio Pietrosanti - Yvette Agostini127 08 - Dopo Monkey-Jack

128 Fabio Pietrosanti - Yvette Agostini128 08 - Monkey_Jack sample

129 Fabio Pietrosanti - Yvette Agostini129 08 - Come funziona Monkey_Jack Non ce per-packet autentication Non ce per-packet autentication –Il client o lAP puo essere spoofato Il cliente cerca nuovi AP appena essere stato disassociato Il cliente cerca nuovi AP appena essere stato disassociato Lattaccante impersiona lAP e gli richiede di autenticarsi Lattaccante impersiona lAP e gli richiede di autenticarsi

130 Fabio Pietrosanti - Yvette Agostini130 08 - Denial of service Basta usare la fantasia Basta usare la fantasia Fino a 802.11i & WPA2 flood di pacchetti di management Fino a 802.11i & WPA2 flood di pacchetti di management Dopo 802.11i inizieremo a giocare con i pacchetti di controllo Dopo 802.11i inizieremo a giocare con i pacchetti di controllo Un esempio pratico? RTS flood! Un esempio pratico? RTS flood!

131 Fabio Pietrosanti - Yvette Agostini131 Conclusioni Attaccatevi!!

132 Fabio Pietrosanti - Yvette Agostini132 Q&Ab Missione compiuta? Fabio Pietrosanti – fabio@pietrosanti.it fabio@pietrosanti.it Yvette Agostini – yvette@yvetteagostini.it


Scaricare ppt "Fabio Pietrosanti - Yvette Agostini 1 Wireless (in)security: (in)sicurezza dell'802.11 Fabio (naif) Pietrosanti - Yvette (vodka) Agostini"

Presentazioni simili


Annunci Google