Trådlösa nätverk. Säkerhetsprotokoll WEP och WPA. I den här rapporten går vi igenom säkerheten i trådlösa nätverk, i synnerhet krypteringsprocess

Transkript

1 Trådlösa nätverk Säkerhetsprotokoll WEP och WPA I den här rapporten går vi igenom säkerheten i trådlösa nätverk, i synnerhet krypteringsprocess och brister i WEP, WPA och WPA2 samt hur man gör för att få lösenordet till ett WEP-nätverk. Genom litteraturstudier och ett eget försök att på ett obehörigt sätt få tag på ett lösenordet för ett WEP-nätverk har vi kommit fram till att WEP är väldigt sårbart jämfört med WPA. Vi går igenom steg för steg hur vi lyckades fånga lösenordet på cirka 8 minuter. Linus Flood (linfl683@student.liu.se) Daniel Resman (danre173@student.liu.se) Linköpings universitet Linköping

2 Innehållsförteckning 1 Inledning Syfte Frågeställningar Metod Bakgrund Trådlösa nätverk WEP WPA och WPA Säkerhet WEP Krypteringsprocess Brister Hur gör man för att bryta sig in i ett WEP-nätverk? WPA och WPA Krypteringsprocess Brister Hur gör man för att bryta sig in i ett WPA-nätverk? Hur bröt vi oss in i ett WEP-nätverk? Resultat Diskussion och slutsatser...10 Referenslista...11

3 1 Inledning När man skickar data genom kabel har man bra säkerhet eftersom det bara är i ändpunkterna som man kommer åt datan. Nu blir trådlösa nätverk allt mer vanliga, vilket gör att vem som helst som är i närheten skulle kunna fånga upp datan. För att fortfarande behålla säkerheten som man hade i kabelnätverken så måste datan krypteras. Det finns flera olika metoder för det och i den här rapporten undersöker vi den gamla standarden WEP och dess svagheter samt hur de nya alternativen WPA och WPA2 står sig genemot WEP. 1.1 Syfte Den här rapporten ska ge ökad förståelse för säkerheten i trådlösa nätverk; var svagheterna finns och vad man kan göra för att förbättra säkerheten. 1.2 Frågeställningar För att få en bra förståelse över säkerheten i trådlösa nätverk så har vi valt att inrikta oss på dessa frågor: Hur fungerar WEP och WPA? Vad finns det för säkerhetslösningar och brister i WEP och WPA? Hur får man tag på lösenordet till ett WEP-nätverk? 1.3 Metod För att hitta svar på våra frågeställningar har vi sökt information i tryckt literatur men mest i form av internetsidor. Genom att själv försöka hacka oss in på ett trådlöst nätverk och se vilka metoder man använder sig av så har vi fått mer förståelse för hur säkerheten ser ut och hur man skyddar sig bäst i trådlösa nätverk. 1

4 2 Bakgrund 2.1 Trådlösa nätverk Det finns olika sorters trådlösa nätverk. I den här rapporten går vi igenom WLAN, närmare bestämt standarden IEEE Den här standarden innehåller säkerhetslösningarna WEP och WPA. WLAN är ett typ av nätverk som används främst för datorer. Nu för tiden finns WLAN lite överallt, i bibliotek, skolor, tågstationer, hemmen och även i hela stadskärnor. Trådlösa nätverk kräver inga kablar, vilket gör det väldigt enkelt att ansluta sig. I och med att de har blivit väldigt populära så har även hotrisken ökat. Därför är det viktigt att säkerheten finns där för att skydda användarna i nätverket mot avlyssning och sabotage av olika slag. 2.2 WEP WEP (Wired Equivalent Privacy) är en standard som krypterar och dekrypterar data vid filöverföring (Storm & Larsson, 2006). WEP fastställdes 1999 av Wi-Fi Alliance (wi-fi.org). Grunden till WEP var från början att skapa ett nätverk som hade samma säkerhetsnivå som kabelnätverk (Storm & Larsson, 2006). För att möta denna nivå var man tvungen att ha tre saker: 1) Tillit 2) Tillgänglighet och 3) Integritet. 1. Största anledningen till att man skapade WEP var att ingen skulle kunna avlyssna; det är tillit. 2. En annan anledning var att man skulle autentisera sig för att få tillgång till nätverket; det är tillgänglighet. 3. Den tredje anledningen är att förebygga så att ingen kan mixtra med nätverket, vilket är integritet (Earle, 2006 s. 188). WEP är en typ av symmetrisk kryptering, som innebär att klient och server har likadana nycklar som används både vid kryptering och dekryptering. Nyckeln kan vara mellan bitar lång och varierar beroende på hårdvara, men om man har en nyckel på över 40 bitar så är det inte säkert att den fungerar med annan hårdvara. Den har även en initialiseringsvektor (IV) som är ett slumpat tal på 24 bitar. WEP använder sig av max fyra olika nycklar och användaren kan lätt byta mellan vilken nyckel som ska användas. WEP använder sig av en autentiseringsmetod, en metod som gör att en användare måste visa att man har rätt till nätverket. Det sker med en metod som kallas Shared Key. Den funkar så att accesspunkten skickar en okrypterad text till klienten, klienten ska senare kryptera texten med en vald WEP-nyckel, som man senare skickar tillbaka till accesspunkten som dekrypterar texten. Är texten likadan som den skickade, så får klienten använda sig av nätverket. (Storm & Larsson, 2006) 2

5 2.3 WPA och WPA2 Redan 2001 var WEP:s kryptografiska svagheter kända. Flera oberoende akademiska och kommersiella studier hade visat att med rätt verktyg och en hel del teknisk kunskap kunde en som inte hade rätt att komma in på ett WLAN få tillgång till det trots att WEP var aktiverat. WEP var då fortfarande en ganska bra lösning för hemanvändare och mindre företag. Men som en lösning för stora företag med affärshemligheter dög det inte. (Wi-Fi Alliance, 2005) IEEE började jobba med en ny standard IEEE i. Men det tog lite för lång tid, så Wi-Fi Alliance skapade Wi-Fi Protected Access (WPA) som baseras på utkast 3 till IEEE i. WPA2 som senare kom, baseras på den färdiga standarden IEEE i (Earle, 2006 s. 208). WPA använder som standard Temporal Key Integrity Protocol (TKIP) för att kryptera trafiken, vilket också är möjligt att använda i WPA2 men det är inte standard. TKIP är en resurssnål lösning som det var meningen kunde användas i redan befintlig hårdvara för WEP, eftersom båda använder krypteringsalgoritmen RC4 som skapades av RSA Security (Snyder & Thayer, 2004). Men WPA kan också använda en krypteringsmetod som skapades av amerikanska staten, Advanced Encryption Standard (AES). I WPA2 används som standard AES som kryptering men inte riktigt på samma sätt som AES används i WPA (Earle, 2006 s. 209). Något som kunde hända i WEP var att ett meddelande man skickade lätt kunde ändras. För att komma runt det problemet används Message Integrity Check (MIC) när man använder TKIP. Om man använder AES så används istället Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP) som har samma funktion som MIC, det vill säga en metod som används för att upptäcka att meddelanden inte ändras. (Earle, 2006 s. 217). I WPA och WPA2 finns också två metoder för autentisering. Den ena och den mer säkra är autentisering mot en autentiseringsserver via x protokollet, som bara tar emot så kallade EAP-anrop (Extensible Authentication Protocol RFC 3748) (Wi-Fi Alliance, 2005). EAP är ett ramverk för autentisering som innehåller flera funktioner för förhandling av autentiseringsmekanismer. När väl autentiseringen är klar så får annan trafik skickas. Den andra är Preshared Keys (PSK). Det innebär att man bestämmer samma lösenord för alla i nätverket. För att man inte ska kunna lyssna av de andra i nätverket om man har lösenordet så skapas också en unik session key (Earle, 2006 s. 211). 3

6 3 Säkerhet I det här kapitlet går vi igenom krypteringsprocesser, brister samt hur man kommer igenom ett WEP- och WPA-nätverk. 3.1 WEP Krypteringsprocess WEP-protokollet är baserat på ett RC4-chiffer. Det finns två olika nivåer av WEP. Det ena är baserat på en 40-bitarskrypteringsnyckel och en 24 bitar lång IV, vilket motsvarar 64 bitar. Den andra har en 104-bitarsnyckel och en 24 bitar lång IV, vilket motsvarar 128 bitar. Den sistnämnda nivån är säkrare eftersom den har större nyckel. Krypteringsprocessen börjar med att man genererar en nyckel. Denna nyckel är till för att starta den process som ska hantera nyckelprocessen. När nyckeln är genererad, skickar man den till accesspunkten. För att vara säker på att ingen obehörig får tillgång till nätverket måste nyckeln skrivas in på varje klient för sig. När man har skrivit in nyckeln, startas en konversation mellan klienten och accesspunkten. Men det är inte bara nyckeln som krävs för att skicka krypterad data, det krävs även en IV som tillsammans med nyckeln som gör att man kan skicka krypterad data. WEP använder sig av en IV som är 24 bitar (se avsnitt 2.2) vilket visar sig vara en stor brist i protokollet (Earle, 2006 s. 189) Brister WEP har kritiserats hårt på grund av dess brister i protokollet. Redan 2001 så var det en agent på FBI som visade att det gick att få tag på en nyckel och kunna bli autentiserad på under tre minuter. Senare under 2000-talet har man lyckats på under en minut. Felet i WEP har visat sig vara IV. Av drygt 17 miljoner olika kombinationer finns det 9000 nummer som är intressanta ur en hackers synvinkel. Dessa nummer har två F mitten av numret; det kan till exempel se ut så här: 3A:FF:5E. Om man hittar dessa nummer så kan man lätt få reda på informationen om den delen av nyckeln. Sen har man bara den sista delen kvar och där är det inte många kombinationer som behövs för att hitta rätt, vilket gör att man får nyckeln väldigt lätt (Earle, 2006 s. 234) Hur gör man för att bryta sig in i ett WEP-nätverk? Det finns många olika metoder och program för att bryta sig in i ett WEP-nätverk. För att gör det måste man först samla in en stor mängd information av det som skickas på nätverket och särskilt alla ARP-förfrågningar (Address Resolution Protocol) som skickas och som har ett unikt IV. En ARP-förfrågan är en förfrågan om vilken IP-adress en viss MAC-adress har. Om man inte har ett program som lurar nätverket att skicka dessa, kan det ta flera dagar att samla in all information som krävs. Men i dagens läge finns det program som kan lura nätverket att skicka ARP-förfrågningar. När man väl samlat in all information så startar man ett program som löser krypteringen automatiskt och det är bara att vänta. Har man tur har man lyckats samla rätt information på en gång och WEP-nyckeln kan hittas på bara ett fåtal minuter. (Max, 2007) 4

7 3.2 WPA och WPA Krypteringsprocess Efter autentiseringen i WPA och WPA2 så äger en fyrvägshandskakning rum för att bestämma nycklar. Under handskakningen bildas en unik group och session key för varje användare. De skapas av en group master key (GMK) respektive en pairwise master key (PMK). Med autentisering mot en autentiseringsserver så skapas PMK:n av autentiseringsservern. När PSK används så skapas det av lösenordet. Sedan skapas 3 nycklar av PMK: EAPOL-key confirmation key (KCK), som används för att veta att datan kommer från rätt ursprung. Den andra nyckeln är EAPOL-key encryption key (KEK), vilket används för att kryptera datan. EAPOL är samma som EAP bara att det kallas EAPOL i x (EAP over LANs). Den tredje nyckeln används också för att kryptera datan och den kallas pairwise temporal key (PTK). Genom att hasha ihop sändarens och mottagarens MAC-adresser och ett nonce (slumptal) från båda så skapas PTK. För att sedan skapa group temporal key (GTK) från GMK så görs det på motsvarande sätt för att skapa PTK. Fyrvägshandskakningen börjar med att accesspunkten skickar ett första slumptal, det så kallade ANonce. Det får inte omanvändas och används då för att förhindra omskickningsattacker. Varje gång en part skickar ett meddelande kollar mottagaren om nonce var ändrad eller om den var felaktigt omanvänd. Efter att mottagaren har validerat ANonce så skickar den ett Snonce som används för att skapa PTK. Den kommer samtidigt att skicka alla säkerhetsparametrar, som till exempel vilken kryptering som ska användas. All denna information är också krypterad med KCK, vilket skyddar den från att ändras. Det tredje meddelandet säger till klienten att att installera PTK:n genom att skicka en GTK. Klienten kollar så KCK är korrekt och i så fall säger den till accesspunkten att att allting gick bra och att den är redo att kommunicera (Earle, 2006 s ) Brister WPA och WPA2 har inte alls lika många brister som WEP. Men en av bristerna ligger i när man använder PSK. Då måste en fyrvägshandskakning äga rum för att bestämma session key, vilket bestäms av en huvudnyckel, två så kallade nonces (slumptal) och både mottagarens och sändarens MAC-adresser. Huvudnyckeln bestäms av lösenordet och Sevice Set Indentifier (SSID - namnet på nätverket) och SSID:s längd som läggs i en PBKDF2-hashningsalgoritm, som hashar 4096 gånger till en 256-bitarsnyckel. Bristen ligger i att lösenordet skickas med i handskakningen (Earle, 2006 s. 245) Hur gör man för att bryta sig in i ett WPA-nätverk? Man kan utnyttja bristen att lösenordet skickas med i handskakningen när man använder PSK. Först måste man ta reda på SSID:t och det kan man göra ganska enkelt genom att lyssna efter det. Sedan måste man lyssna efter fyrvägshandskakningen och det andra meddelandet skickas, som är ett EAP meddelande som innehåller två värden: PTK och KEK (se avsnitt för förklaring). Värdena är hashade med Message-Digest algorithm 5 (MD5). Genom att testa olika lösenord och se om det matchar kan man se om man har rätt lösenord utan att fråga accesspunkten (Earle, 2006 s. 246). 5

8 4 Hur bröt vi oss in i ett WEP-nätverk? Vi började med att samla in information om nätverket och nätverkskortet som vi använde, vilket vi senare skulle behöva för att ta oss in i nätverket. MAC-adress (PC): 00-0D-F0-33-0E-D5 MAC-adress (Accesspunkt): 00-1C-F0-7C-FB-72 SSID: döpt till molnet Accesspunktskanal: 11 Trådlöst gränssnitt: wlan0 Sedan valde vi vilket program vi skulle använda oss av och det blev till slut aircrack-ng (aircrack-ng.org). Det här programmet gick att köra i både Linux och Windows men det finns många restriktioner i Windows varför vi valde Linux. Närmare bestämt valde vi BackTrack 3 Beta (se remoteexploit.org) som går att köra som live-cd. BackTrack är speciellt anpassat för att testa säkerhet i trådlösa nätverk. Sedan började vi att sätta upp vårt WEP-nätverk. Vi hade en D-Link NATrouter Di-524 (se dlink.se för mer information). Vi konfigurerade den enligt figur 1 nedan: Figur 1. Inställningar för NAT-routern När vi hade satt upp vårt nätverk så startade vi BackTrack i Graphics mode (KDE) för att sedan starta vår attack. Vi började med att stoppa alla nätverksgränssnitt för att sedan öppna nätverksgränssnittet på kanal 11. airmon-ng stop wlan0 airmon-ng start wlan0 11 6

9 Sen började vi att lyssna på trafiken och spara paketen från nätverket. I figur 2 syns information om insamlingen som vi startade med denna rad: airodump-ng -c 9 --bssid 00-1C-F0-7C-FB-72 -w output wlan0 Figur 2. Airodump-ng Eftersom vårt nätverkskort inte klarade av att generara paket mellan sig själv och accesspunkten, så var vi själva tvungna att skapa trafik i nätverket, vilket gjorde att det tog lite längre tid att samla in alla paket som behövdes. Vi testade först efter cirka 8 minuter att få fram nyckeln och vi lyckades direkt. Tiden det tar att få nyckeln beror helt på vilka paket man fångat. Man brukar säga mellan och paket för en nyckel på 40 bitar. Hade vi kunnat generera trafik hade det troligtvis räckt med cirka paket (Darkaudux, 2008). Den här raden laddar filen med paketen vi fångade in och försöker få fram nyckeln: aircrack-ng -b 00:14:6C:7E:40:80 output*.cap Se figur 3 där aircrack-ng tar de insamlade paketen och försöker få fram lösenordet: 7

10 Figur 3. Aircrack-ng Så här lätt var det att få tag på lösenordet i ett WEP-nätverk! 8

11 5 Resultat Vi har genom att undersöka på internet och i litteratur, samt att själv försöka bryta oss in i ett WEP-nätverk fått en inblick i hur säkerheten i trådlösa nätverk fungerar och vilka brister de har. Det har visat sig att WEP är väldigt sårbart om man jämför med WPA. Den största skillnaden mellan dessa är hur de hanterar nycklar. I WEP har man fyra statiska nycklar som inte ändras, vilket gör att man kan samla information som skickas i nätverket och sedan försöka få tag på lösenordet. Har man väl fått WEP-nyckeln har man tillgång till nätverket tills någon byter lösenord. Men då är det bara att köra samma process igen. I vårt eget försök att få tag på lösenordet lyckades vi på cirka åtta minuter, vilket gör att man kan klassa WEP som väldigt dåligt då vi inte har särskilt speciellt djupa kunskaper inom området. WPA däremot är betydligt säkrare än WEP där man hanterar nycklarna helt annorlunda. I WPA så ändras nyckeln hela tiden vilket gör det svårare att få reda på huvudnyckeln. Den enda kända bristen i WPA är att det krävs en handskakning mellan server och klient där lösenordet skickas men inte är särskilt bra krypterat för den använder samma krypteringsalgoritm som WEP. I WPA2 har detta lösts med en annan sorts krypteringsmetod som kallas AES CCMP, där huvudnyckeln är betydligt bättre krypterad. 9

12 6 Diskussion och slutsatser Med vår litteraturstudie och egna försök att bryta oss in i ett WEP-nätverk har vi kunnat visa att WEP är väldigt bristfälligt. Om man vill skydda sitt nätverk är WEP inte att föredra utan då finns alternativ som WPA och WPA2. Vi själva hade inte kunskapen att bryta oss in i ett WPA-nätverk, därför fick vi ingen riktig klarhet i hur säkert WPA och WPA2 är, bara att bristerna är väldigt få och att WPA2 i princip är obrytbart i dagens läge. Att företag behöver kryptera sina nätverk är ganska självklart då det finns verkliga hot. Ett företag måste ju skydda attraktiva affärshemligheter med mera. Ett vanligt hemmanätverk däremot kanske inte behöver kryptera. För frågan är om det verkligen finns några hot för hemmanvändare. Det handlar nog snarare om man vill dela med sig av sin bandbredd till andra eller inte. Därför skulle ett WEP-nätverk fungera hemma men något vi absolut inte skulle rekommendera på ett företag. 10

13 Referenslista A. Earle (2006), Wireless Security Handbook, Auerbach Publications. Darkaudux (2008), Tutorial: Simple WEP Crack (version 1.07, 4 januari 2008), Aircrack-ng [www]< Hämtat 16/ F. Storm & M. Larsson (2006). Grundläggande säkerhet inom trådlösa nät. Examensarbete, Högskolan i Gävle [www]< Hämtat 6/ Macks53 (2007). Knäcka WEP under Windows med Cain och Airpcap (inlägg i diskussonsforum 29 april 2007), ITproffs.se [www]< Hämtat 14/ J. Snyder & R. Thayer (2004). Explaining TKIP (10 april 2004), Network- World [www] < Hämtat 11/ Wi-Fi Alliance (2005). Deploying Wi-Fi Protected Access (WPA ) and WPA2 in the Enterprise, s6, Wi-Fi Alliance [www] < WPA2%20Implementation_ pdf> Hämtat 14/ Wi-Fi Alliance (2005). Wi-Fi Protected Access: Strong, standards-based, interoperable security for today s Wi-Fi networks, Wi-Fi Alliance [www] < %20Security_ pdf> Hämtat 11/