Ramverk för säkerhetsutvärdering av trådlösa nätverk

Transkript

1 Ramverk för säkerhetsutvärdering av trådlösa nätverk MARCEL LJUNG Examensarbete Stockholm, Sverige 2005 TRITA-NA-E05193

2 Numerisk analys och datalogi Department of Numerical Analysis KTH and Computer Science Stockholm Royal Institute of Technology SE Stockholm, Sweden Ramverk för säkerhetsutvärdering av trådlösa nätverk MARCEL LJUNG TRITA-NA-E05193 Examensarbete i datalogi om 20 poäng vid Programmet för elektroteknik, Kungliga Tekniska Högskolan år 2005 Handledare på Nada var Björn Rhoads och Stefan Nilsson Examinator var Stefan Arnborg

3 Sammanfattning I dagens snabbt växande IT-samhälle uppstår nya lösningar ideligen för att svara mot våra ständigt växande krav på tillgänglighet, flexibilitet och mobilitet. Nya tekniker växer fram för att möta dessa behov, som exempel GSM, blåtand, 3G samt trådlösa nätverk för datakommunikation. Det starka IT-beroendet leder till stegrade krav på säkerheten i dessa IT-infrastrukturer. Trådlösa nätverk av standardfamiljen har under en kort period blivit ett ofta förekommande medium för företag i olika branscher. Informationssäkerheten är ett område som också har expanderat på senare år, speciellt när det gäller trådlösa nätverk. Detta eftersom säkerheten i de trådlösa nätverken har varit det allmänna problemet under senare år. Flertalet av de artiklar som publicerats om trådlösa nätverk har handlat om hur låg säkerhetsnivå som generellt sett har funnits. Säkerheten i de tidiga standarderna innehöll inga tillfredsställande säkerhetsfunktioner, tyvärr insåg allmänheten och industrin detta efter att trådlösa nätverk funnits ett par år på marknaden. Det finns idag färdigutvecklade program för att ta sig in i dåligt skyddade trådlösa nätverk som baserar sin säkerhet på ovannämnda säkerhetsfunktioner. Syftet med denna rapport var att utarbeta ett ramverk för analys av säkerheten i trådlösa nätverk. Ramverket stöder sig på en litteraturstudie som har undersökt hur olika kända attacker mot trådlösa nätverk är uppbyggda samt vilka tekniker som finns idag för att motverka dessa attacker. Rapporten börjar med en teoretisk genomgång av säkerheten och befintliga problem med de tidiga standarderna samt andra intressanta protokoll i trådlösa sammanhang. Vidare bedömer rapporten säkerheten i de mest förekommande säkerhetslösningarna för trådlösa nätverk. De kända attackerna som idag finns mot trådlösa nätverk studeras och hur dessa attacker kan identifieras samt förebyggas har en central roll i rapporten. Slutprodukten av rapporten är ett ramverk för utvärdering av säkerheten i ett befintligt trådlöst nätverk, genom att identifiera problem med mjukvara, hårdvara samt olika autentiseringsmetoder. Ramverket bör ses som ett underlag för vidareutveckling av ett mer omfattande ramverk. Ramverket kan användas som stöd till personer med teknisk expertis hos Deloitte, för att kommunicera risker till företag, vid IT-revisioner, vid förstudier för implementering av trådlösa nätverk samt vid utvärdering av organisationers trådlösa nätverk. Förutom ramverket finns även ett avsnitt med råd om hur ett långsiktigt säkerhetstänkande kan införas i en organisation mha. en IT-policy. Kapitlet behandlar kort ett tänkbart tillvägagångssätt vid framtagande av ett sådant dokument.

4 En av slutsatserna från examensarbetet är att den kommande standarden i, som förväntas bli godkänd under andra kvartalet 2004, använder metoder som löser de befintliga säkerhetsproblemen med trådlösa nätverk som beskrivs i detta examensarbete, med undantag för s.k. Denial-Of-Service-attacker. Studien drar också slutsatsen att en korrekt konfigurerad VPN-server med publik nyckelstruktur också ger ett godkänt skydd, med undantag för vissa lager 2-attacker. Dessa attacker på datalänknivå kan undvikas genom att använda 802.1X-protokollet gemensamt med IPsec för att få en väl godkänd säkerhetsnivå. Resultatet är att IPsec ändå inte rekommenderas som första alternativ pga. en mängd nackdelar som t. ex. roamingproblem, svårigheter att genomföra mediastreaming och kostnader för VPN-servrar. Denna slutrapport är resultatet för ett examensarbete som har utförts vid Deloitte och Institutionen för Numerisk analys och datalogi (NADA). Nyckelord , trådlöst, säkerhet, nätverk, ramverk, WLAN, WEP, 802.1X, WPA, TKIP, AES, IPsec, PKI, attacker, IT-säkerhet, informationssäkerhet.

5 Framework for security evaluations of wireless networks Abstract In today s rapidly growing IT-society, new solutions emerge all the time to meet the continuously growing demands of accessibility, flexibility, and mobility. The new technologies that have developed to meet these demands are GSM, Bluetooth, 3G and Wireless Local Area Networks (WLAN) for computer communication. The strong dependence on IT implies increased demands on security in these IT-structures. Wireless networks from the family standard have in a short period of time become a popular choice of communication for companies in different lines of businesses. Information security is another area that has expanded greatly in recent years, especially in wireless networks. The level of security in wireless networks has been a general problem, with no off-the-shelf solutions. The majority of the articles printed about wireless networks have focused on the low level of security. The protocols in the early standards contained no security measures worth mentioning. Unfortunately, the public and the industry realized this problem after wireless networks had been around for a couple of years. Hence, today there exists off the shelf tools readily available for breaking into poorly secured wireless networks. The purpose of this essay is to establish a framework for analyzing the security in wireless networks. The framework is based upon the research conducted in this essay. The research sought ought to examine how different known attacks against wireless networks are constructed and what techniques exist today to counteract these attacks. The essay starts off with a theoretical exposition of the security and existing problems with the early standards for wireless communication. Furthermore, the essay assesses the security in the most frequent occurring solutions for wireless networks. The identifying and prevention of the today known attacks against WLAN s has a central role in the essay. The final product of the essay is the framework for evaluating the security in a wireless network, by illustrating the risks with software, hardware, and different authentication methods. The framework should be considered as the basis for the development off a more extensive framework. The framework could be used as support for individuals with technical expertise at Deloitte, for communicating risks to clients, audits of IT, pre-implementation studies of wireless networks, and for evaluation of security in existing wireless networks. In addition to the framework there is also a chapter with advice on how long-term security awareness can be implemented in an organization with aid of an information security policy. The chapter briefly discusses one possible way of action for creating this document.

6 One of the conclusions that were drawn is that the, soon to be ratified, standard i utilizes methods that solve the existing problems with wireless networks described in this essay, with exception of denial of service attacks. The study also draws the conclusion that a properly configured VPN-gateway with public key infrastructure provides an approved level of security; with exception of some OSI-models layer 2 attacks. These attacks on the data link layer can be prevented by using the 802.1X protocol together with IPsec in order to attain a well approved level of security. However, the conclusion is that IPsec is not recommended as the first alternative due to a number of drawbacks e.g. trouble with streaming of media, roaming, and the costs of VPN-gateways. This essay is the result of the master thesis work conducted at Deloitte and the department of Numerical Analysis and Computer Science (NADA). Keywords , wireless, security, network, framework, WLAN, WEP, 802.1X, WPA, TKIP, AES, IPsec, PKI, attacks, IT-security, information security.

7 Innehållsförteckning 1 Inledning Bakgrund och metodval för examensarbete inom trådlös säkerhet Frågeställning Avgränsningar Motivering för val av metod Arbetsmetodik vid utvärdering Källkritik Viktiga protokoll och standarder för trådlösa nätverk Allmänt om säkerhet i datakommunikation Sekretess Autentisering Dataintegritet Ickeavvisning Åtkomstkontroll Tillgänglighet Allmänt om IEEE och IETF Bakgrund om trådlösa nätverk Risker med trådlösa nätverk Exempel på risker med en icke-auktoriserad basstation Exempel på risk med ett trådlöst nätverk utan autentisering WEP Säkerhetsmekanismer i WEP Kända svagheter med WEP X/EAP WPA Bakgrunden till WPA WPA med TKIP - WPA Säkerhetsbedömning av WPA med TKIP WPA WPA med AES WPA Säkerhetsbedömning av WPA med AES WPA IP Security (IPsec)...19 Säkerhetsbedömning av IPsec i trådlösa nätverk Säkerheten i de trådlösa protokollen a b g h i Säkerhetsbedömning av olika protokoll Kända säkerhetsrisker med trådlösa nätverk Säkerhetsfilosofi...25

8 4.2 Förklaring av betyg och rekommendationer Dålig konfigurering/hantering av basstationer och klienter (AP and Client misconfiguration) SSID (Service Set IDentifier) Gränssnitt för konfigurering Dålig fysisk säkerhet för basstationerna Risker med konfigurering av trådlösa klienter Insättningsattacker (Insertion attacks) Icke-auktoriserade användare (Rogue Users) Icke-auktoriserade basstationer (Rogue Access Points) Trafikstopp och övervakningsattacker (Interception and monitoring attacks) ARP-Spoofing Sessionskapning Störning (Jamming) Rekommendation/Ramverk för WLAN utvärdering Säkerhetspolicy för WLAN Allmänna rekommendationer Förberedelser Underhåll Åtgärd Ramverk för utvärdering av trådlösa nätverk Diskussion och slutsatser Ordlista...63 Referenser...66 Bilaga A Ramverk för utvärdering av trådlös säkerhet...70 Bilaga B Intervjuprotokoll...74

9 1 Inledning Denna slutrapport är en produkt av ett examensarbete som bedrivits på Deloitte och NADA (Institutionen för Numerisk Analys och Datalogi), KTH, under hösten 2003 samt början på Examensarbetet ingår som en del i civilingenjörsexamen för Marcel Ljung. Rapporten handlar om hur det går att med dagens teknologi motverka de olika kända attacker som finns mot trådlösa nätverk. De flesta som jobbar med säkerhet idag är medvetna om att det finns säkerhetsproblem med trådlösa nätverk. Enligt min egen bedömning stannar ofta kunskapen där och få vet egentligen något mer än att den första krypteringsmekanismen WEP var väldigt svag. Denna rapport strävar efter att på ett överskådligt sätt beskriva vilka protokoll som anses säkra respektive osäkra i trådlösa sammanhang. Exempel på en risk är att trådlösa nätverk ofta sträcker sig utanför företagens fysiska lokaler, vilket ger att en obehörig användare kan få åtkomst till nätverken via t. ex. företagets parkeringsplats. Andra risker är när svaga eller inga krypteringsmetoder används vilket låter obehöriga användare avlyssna trafiken som skickas mellan företagens trådlösa klienter. En ny typ av risk med en modifierad social engineering diskuteras, dvs. obehöriga användare använder icke-auktoriserade basstationer för att lura behöriga användare att lämna ut användarnamn och lösenord. Frågeställningen är hur identifieras samt förebyggs dessa risker och kända attacker mot trådlösa nätverk. Detta går att göra i ett betydligt kortare format än denna rapport men min förhoppning är att läsaren själv ska kunna dra sina slutsatser om respektive säkerhetslösning. Rapporten är strukturerad efter följande: Kort teoribakgrund om de begrepp och protokoll som är nödvändiga för att kunna utvärdera befintliga säkerhetsprotokoll. Säkerhetsbedömning av protokoll som ofta förekommer i trådlösa sammanhang. Genomgång av kända attacker mot trådlösa nätverk och metoder för att identifiera samt förebygga dessa attacker. Allmän diskussion kring examensarbetets slutsatser samt saker att tänka på innan ett trådlöst nätverk implementeras. Den som redan är väl bevandrad inom säkerhetslitteratur inom trådlösa nätverk och vill jämföra säkerhetslösningar mot diverse attacker kan börja läsa direkt vid kapitel 4 Kända säkerhetsrisker med trådlösa nätverk. Övriga läsare rekommenderas att läsa hela rapporten för att få ta del av teorin som ligger till grund för olika bra eller dåliga säkerhetslösningar. 2 Bakgrund och metodval för examensarbete inom trådlös säkerhet Deloitte har mot bakgrund av ett flertal projekt hos kunder i olika branscher sett bristande medvetenhet och kunskap avseende teknisk säkerhet i trådlösa nätverk. I dagsläget finns 1

10 heller ingen vedertagen metodik hos Deloitte i Sverige för att utvärdera och bedöma säkerheten i trådlösa nätverk. Framförallt saknas metodik för kontorsnätverk som använder standarderna b och g. Säkerhetsriskerna med oskyddade trådlösa nätverk är tillräckligt stora för att kompromettera ett företags nätverk, trots att säkerhetsåtgärder gjorts för det tråddragna nätverket. För att sätta ett trådlöst nätverk i produktion och övervaka det krävs god förståelse inom datasäkerhet och speciellt trådlös teknik. Det som skiljer sig från vanlig teknik, avseende nätverksdesign, är att den trådlösa egenskapen medför att personer kan komma åt ett företags information utan att ha tillgång till företagets fysiska lokaler. 2.1 Frågeställning Examensarbetets frågeställning är: Hur identifieras och förebyggs olika säkerhetsproblem i ett befintligt trådlöst nätverk? För att kunna besvara denna frågeställning kommer flera mindre frågeställningar att ställas: Hur är säkerheten i befintliga trådlösa protokoll? Hur är säkerheten i de metoder som finns för autentisering? 2.2 Avgränsningar Eftersom detta projekt är ett examensarbete med begränsad tid och begränsade resurser, måste målsättning och arbetsinsats avgränsas på ett rimligt sätt. Projektet har valt att göra följande begränsningar: Ramverket som är examensarbetets slutgiltiga produkt baseras på utredningen, kan inte ses som en driftfärdig produkt utan skall ses som en bra grund/rekommendation för vidare utformning. Utöver detta kommer andra delar av säkerhetsperspektivet inte att genomgås i fullo. Istället finns hänvisningar som kan föra den intresserade läsaren vidare. 2.3 Motivering för val av metod Det finns fler metoder att bedriva denna utredning. Det optimala sättet att utvärdera olika säkerhetsmetoder är att själv sätta upp ett testlabb för att själv kunna påverka de olika faktorerna som styr säkerhetsnivån. Om detta görs finns det en möjlighet att fokusera starkare på en eller flera metoder, t. ex. styrkan i en krypteringsalgoritm. Då resurserna och tiden är begränsad kommer en fördjupad litteraturstudie att göras för att kunna styrka påståenden i examensrapporten samt för att förstå problem och säkerhetstänkandet inom trådlös teknik. Eftersom att analysen i utredningen stödjer sig på litteraturstudien, kommer denna att bedrivas kontinuerligt genom examensarbetet. Här bör understrykas att den bästa utvärderingen för ett specialiserat syfte fås om utvärdering bedrivs på egen hand. 2

11 2.4 Arbetsmetodik vid utvärdering Detta examensarbete är en ingående utredning om hur säkerhetsproblem kan identifieras och förebyggas i trådlösa nätverk. Analys av vilka tekniker, dvs. protokoll och tekniska implementationer som uppfyller respektive inte uppfyller ställda säkerhetskrav kommer att göras. Dessa säkerhetskrav är ställda: Metoden förmår att blockera den beskrivna attacken inifrån (utförs av en illasinnad anställd) systemet. Metoden förmår att blockera den beskrivna attacken utifrån (utförs av en obehörig användare) systemet. Metoden kan garantera att faktorerna: sekretess, dataintegritet, tillgänglighet, autentisering, ickeavvisning samt åtkomstkontroll erbjuds av den valda säkerhetslösningen. 2.5 Källkritik I vissa fall har det varit svårt att finna källor med hög trovärdighet. Tyvärr är detta ett ständigt problem med datasäkerhet och dess forskningsfront, eftersom de trovärdiga leverantörerna inte alltid hinner med utvecklingen. Säkerhetsinstitut, organisationer, universitet och andra trovärdiga källor bidrar med sina synpunkter när en standard väl är vedertagen och rimlig tid har funnits för undersökning. I denna rapport har detta ingen egentlig effekt eftersom de flesta säkerhetsproblemen är kända sedan ett par år och därför får betraktas som öppet accepterade. Examensrapporten kommer dock att belysa några av de senaste förslagen, som ingår i standarden i, på att lösa säkerhetsproblemen i trådlösa nätverken. Ett flertal av källorna som används i samband med den kommande standarden i baseras på litteratur som skrivits av medlemmar i arbetsgruppen i (eng. Task Force i) som är ansvariga för att ta fram standarden i. När en källa bedöms som mindre trovärdig än de övriga källorna i examensarbetet kommer detta att uttryckligen stå i rapporten på det ställe där källan används. Förhoppningen är att detta kommer att ge trovärdighet åt rapporten som helhet. 3 Viktiga protokoll och standarder för trådlösa nätverk Mycket utveckling har skett under de tre senaste åren och utvecklingen pågår fortfarande. Ny teknik som har utvecklats under 2003 bygger till viss del på protokollfunktioner som idag anses föråldrande och osäkra. I denna utredningsplan och i slutrapporten för examensarbetet kommer termen hackare (eng. hacker) att betyda en person som försöker få icke auktoriserad åtkomst till nätverksresurser med illasinnade avsikter. Trots att det i vissa kretsar anser att den korrekta termen är knäckare (eng. cracker) kommer termen hackare att användas [11]. 3

12 Detta eftersom media oftast väljer att använda denna term och är därför mer accepterad hos gemene man. Termen trådlösa nätverk kommer i fortsättningen att betyda någon av standarderna a, b, g samt h. Vidare kommer termen WLAN (Wireless Local Area Network) att användas som variation istället för trådlöst nätverk. Detta för att läsaren ska få ta del av de termer som används ofta i både svensk och engelsk litteratur, som förhoppningsvis underlättar för den intresserade läsaren för vidare studier av trådlösa nätverk. 3.1 Allmänt om säkerhet i datakommunikation När det gäller klassificering av säkerhetstjänster i datakommunikation finns det ingen vedertagen standard för vilka termer som erbjuder specifika tjänster utan ordvalet varierar från författare [40]. Detta kapitel avser att ge läsaren en grundläggande förståelse för en terminologi som ofta används inom datasäkerhetsområdet. Här används följande klassificering av säkerhetstjänster enligt [6][38][40]: Sekretess (eng. confidentiality) Autentisering (eng. authentication) Dataintegritet (eng. integrity) Ickeavvisning (eng. nonrepudiation) Åtkomst kontroll (eng. access control) Tillgänglighet (eng. availability) Sekretess Denna tjänst är till för att skydda information från obehöriga användare. Eftersom information ofta sparas i ett läsbart format är det viktigt att kunna skydda den med metoder som t. ex. kryptering. Detta för att obehöriga inte ska kunna läsa denna information även om de lyckas att få tillgång till den. Vikten av denna tjänst beror ofta på vilka medium och inom vilka nätverk informationen skickas över. I trådlösa nätverk är behovet av sekretess mycket stort eftersom information sänds ut genom lokalernas fysiska gränser. En liknelse kan göras här med GSM-telefoni som krypterar all information som sänds till och från mobiltelefonen till eller från basstationen Autentisering Denna tjänst avser att identifiera användarna som använder sig av ett nätverks resurser. Detta är viktigt av flera skäl. Eftersom det är viktigt att ge olika användare åtkomst beroende på deras behörighet är det viktigt att veta vem som tilldelas en viss behörighet. En annan viktig aspekt som visar behov av autentisering är spårbarhet. Om en användare har gjort något som bryter mot ett företags policy eller mot lagen är det viktigt att företaget eller polisen kan hitta förövaren. Utan autentisering blir detta mycket svårt. Ett tredje exempel på när autentisering behövs är när meddelanden med hemlig information 4

13 skickas. Då är det viktigt att avsändaren samt mottagaren kan autentiseras för att säkerställa att ingen obehörig person har skickat meddelandet Dataintegritet Med dataintegritet menas att det går att kontrollera att informationen som har sänts inte har blivit duplicerad, modifierad, omsorterad eller omsänd vid ett senare tillfälle Ickeavvisning Ickeavvisning kan ses som en förlängning av tjänsterna dataintegritet och autentisering. Med ickeavvisning menas att en användare förhindras att kunna neka att ett meddelande de facto har mottagits eller att ett meddelande de facto har skickats. Detta innebär i praktiken att en användare kan påvisa att ett mottaget meddelande de facto skickades av den påstådda avsändaren. På samma sätt kan en avsändare påvisa att ett meddelande de facto mottogs av den påstådda mottagaren Åtkomstkontroll En tjänst som finns för att kunna begränsa och kontrollera användarnas rättigheter eller behörigheter till olika resurser i ett nätverk, en databas eller ett filsystem etc. För att åtkomstkontroll ska vara möjlig krävs att tjänsten autentisering finns Tillgänglighet Tillgänglighet är en tjänst som säkerställer att tillgänglig information eller datorresurser finns tillgängligt för behöriga användare och är pålitlig på kontinuerlig basis. I trådlösa nätverk blir det extra viktigt att tjänsterna autentisering och sekretess finns eftersom radiosignaler har möjligheten att spridas utanför lokalernas fysiska gräns vilket ökar säkerhetsriskerna [9][20][49]. 3.2 Allmänt om IEEE och IETF Det finns idag tre organ som står för att definiera olika standarder som leverantörer i branschen sedan utformar sina produkter efter. Det tre olika organen är IEEE (Institute for Electric and Electronic Engineers), IETF (Internet Engineering Task Force) samt ISO (International Organisation for Standardisation). Endast de två första organen, IEEE och IETF kommer att beskrivas här, referenser till ISO ges i slutet av kapitlet. Det första är organet IEEE, som är en sammanslutning av folk och företag inom elektricitet, elektronik och datorer, huvudsakligen i USA. IEEE tillsätter olika standardiseringskommittéer som arbetar fram olika standards. Innan en standard blir vedertagen cirkulerar förslaget till vissa utvalda leverantörer, branschorgan samt andra tänkbara arbetsgrupper som får ge förslag på ändringar. Ett förslag kan omarbetas och 5

14 skickas runt flera gånger innan en standard antas. För att få tillgång till de olika förslagen för en standard krävs en avgift. Det andra organet IETF som tar fram olika standards är lite svårare att beskriva eftersom den inte har någon traditionell struktur. IESG är styrelsen för IETF. Medlemmarna är de olika Area Directors, representanter från IAB och IANA. Den som vill kan vara med i IETF och det är gratis. Alla utgifter för arbetet förväntas medlemmarna att själva finansiera. Arbetet innebär deltagande i de sändlistor som används för diskussioner. Det krävs att deltagaren har en bra teknisk bakgrund samt duktig inom sitt teknikområde. IETF ordnar tre konferenser varje år och däremellan bedrivs arbetet i arbetsgrupper, som har varsin e-postlista. Diskussionerna på sändlistorna och konferenserna leder fram till dokument som kallas Internet-Drafts (ID) (förslag på standard). En ID cirkulerar till vissa utvalda leverantörer, branschorgan samt andra tänkbara arbetsgrupper som får ge förslag på ändringar. När en arbetsgrupp är nöjd med ett förslag skickas det till en Area Director. Denna Area Director tar dokumentet till IESG som fattar beslut om huruvida den skall publiceras som en RFC eller inte. RFC står för Request For Comments (begäran om kommentarer) och är ett lite mer officiellt dokument. Det får ett löpnummer, som började på nr 1 när Internet-forskningen inleddes 1969 och passerade nr 3000 i november RFC Editor är den person som har som uppgift att anslå om uppläggningen av RFC:s på IETF:s hemsida, ge dem ett nummer, hänvisa till nya uppdaterade RFC:s m m. Den information som beskrevs här och mer information om IEEE, IETF samt ISO finns här [22][23][24]. En standard som IEEE har tagit fram är som generellt beskriver hur trådlös kommunikation används i WLAN. Detta var den första standarden för trådlösa nätverk som de efterföljande standarderna b, g m.fl. bygger på. Det som kan skilja de olika standarderna åt är i vilket frekvensband de är specificerade i samt hastigheten de är kompatibla med. Examensarbetet kommer inte att beskriva uppbyggnaden av protokollen som ingår i familjen utan endast kort beskriva några av dess egenskaper samt vilken säkerhetsfunktion de erbjuder. Detta görs i avsnitt 3.9. För mer information om vad som specificerar de olika standarderna refereras till [20]. 3.3 Bakgrund om trådlösa nätverk Idag sätts trådlösa nätverk i bruk i och med dess växande popularitet, ofta utan att tänka på vilka konsekvenser detta kan få för säkerheten [3][21][26][51]. De största säkerhetsproblemen med dåligt konfigurerade trådlösa nätverk förstärks på grund av radiosignalernas naturliga spridning utanför ett företags fysiska avgränsning [21][51]. I regel säljs och levereras trådlösa nätverksprodukter utan några säkerhetsfunktioner påslagna, vilket innebär att kunden själv förväntas aktivera dessa funktioner [10][21][26]. Då ett trådlöst nätverk ofta sträcker sig längre än ett företags fysiska väggar, medför detta att informationen som sprids inom företaget också sprids vidare utanför företaget. Detta har medfört att många hackare har valt att rikta in sig på trådlösa nätverk då de ofta har dålig eller ingen säkerhet [3]. 6

15 Av detta skäl är det ytterst viktigt för ett företag att försäkra sig om att deras trådlösa nätverk håller en fullgod säkerhet för att undvika att obehöriga användare får tillgång till företagets resurser. Kapitlet kommer först att beskriva riskerna med trådlösa nätverk. Därefter kommer en genomgång av olika protokoll och deras säkerhetsfunktioner applicerade i trådlösa nät. Sist kommer en beskrivning av de olika standarderna som finns i skrivande stund (november 2003) för trådlösa nätverk. 3.4 Risker med trådlösa nätverk Att inte ta hänsyn till säkerheten när ett trådlöst nätverk sätts i drift kan vara förödande. Ett företag som inte skyddar sin information mha. kryptering kan likställas med att lägga upp informationen på en text-tv sida hos Sveriges Television. På grund av att trådlösa nätverk använder radiosignaler ärvs både nya funktioner men också problem från radiosignalernas naturliga egenskaper. Eftersom all information skickas ut med radiosignaler medför detta att de kan avlyssnas av alla som har en mottagare. En sådan mottagare kan vara en handdator försedd med en trådlös sändare eller en laptop med ett trådlöst nätverkskort. För att åskådliggöra riskerna som nämns beskrivs ett exempel Exempel på risker med en icke-auktoriserad basstation Ponera att en anställd sitter i en s.k. radioskugga och därför inte kan använda sin dator på det trådlösa nätverket. Den anställde kan då få för sig att köpa en trådlös basstation och ansluta den till företagets nätverk för att förbättra täckningen av det trådlösa nätverket vid sitt skrivbord. Problemet är att basstationen installeras i oskyddat läge, dvs. utan kryptering av den trådlösa trafiken och utan autentisering som krav. Två s.k. värsta falls scenarion (eng. worst case scenario) kan vara: 1. En användare som har mycket känslig information rörande företagets affärsområde, skickar detta vidare till t. ex. företagets VD via e-post genom det trådlösa nätverket via den icke auktoriserade basstationen. 2. En användare går runt i företaget och råkar gå förbi den icke auktoriserade basstationen. Samtidigt som användaren passerar den icke auktoriserade basstationen får han/hon e-post innehållande en ytterst hemlig offert. Det enda som krävs för att en obehörig person ska få tillgång till de känsliga e-posterna i båda scenariona är att personen befinner sig i närheten av den oskyddade icke auktoriserade basstationen och aktivt tjuvlyssnar på den trådlösa trafiken. Idag finns det ett flertal program som kan göra detta. I båda dessa scenarion hjälper det inte om företaget har en fullt uppdaterad brandvägg och krypterar sina filer när de sparas på hårddisken. I scenario 2 hjälper inte t. ex. en VPN tunnel mellan företaget som skickar offerten och det egna företaget som mottar offerten. Trafiken i en VPN tunnel krypteras i regel bara mellan de två olika företagens fysiska platser, dvs. inom de två företagens 7

16 nätverk skickas trafiken okrypterad. Detta på grund av att det ofta är svårt att hantera, samt dyrt att kryptera slutanvändare-till-slutanvändare (eng. end-to-end). E-post skickas i klartext och kan därför avslöja mycket viktig information via trådlösa nätverk som inte har konfigurerats för rätt säkerhetsnivå. Om det handlar om företagsspionage, en högst lukrativ bransch, kan det företag som kom över offerten via det okrypterade trådlösa nätverket ge ett bud precis under den överkomna offerten och således vinna budgivningen [7]. Eftersom många leverantörer idag levererar sina basstationer utan att säkerhetsfunktionerna är förinställda, ställer detta krav på IT-avdelningen eller den person som installerar basstationen i nätverket [3][10][21][26]. Dessa två exempel beskriver faran med att inte skydda företagets information mot att obehöriga användare får tillgång till känslig information. Denna information kan obehöriga användare dra nytta av vilket i förlängningen skadar företaget. Det finns ett annat skäl till varför det är av intresse för ett företag att kräva autentisering i sitt trådlösa nätverk. Om en hackare ska planera en mer sofistikerad attack mot t. ex. en bank, kommer hackarens första steg i attacken vara att säkerställa att ingen kan spåra attacken. Speciellt är det viktigt för hackaren att attacken kan göras från en dator som inte kräver autentisering. Trådlösa nätverk som inte kräver autentisering passar utmärkt för detta ändamål. Detta beskrivs bäst med ett exempel Exempel på risk med ett trådlöst nätverk utan autentisering Ponera att en hackare vill bryta sig in i Nokias filserver för att finna hemlig information om något projekt. Om Ericsson råkar ha ett öppet trådlöst nätverk kan det vara oturligt eftersom hackaren kan välja detta nätverk som bas för sin attack. Hackaren sätter sig utanför Ericssons hus där det trådlösa nätverket finns för att påbörja sin attack mot Nokia. Eftersom det trådlösa nätverket inte kräver autentisering får hackaren direkt en IP-adress via ett DHCP-anrop och kan nå Internet. Antag vidare att hackaren lyckas att bryta sig in i Nokias filserver och komma åt det sökta materialet. Om Nokia upptäcker intrånget kommer det att polisanmälas och en spårning av intrånget påbörjas. I loggfilerna hos Nokia dras slutsatsen att en viss IP-adress verkar misstänkt. IP-adressen spåras till Ericsson. Hos Ericsson finns fler loggar över alla DHCP-tilldelningar av IP-adresser men det enda som återfinns är att en trådlös klient fick den misstänkta IP-adressen tilldelad ett visst datum och att MAC-adressen inte tillhör samma tillverkare som de bärbara datorer som Ericssons anställda använder. Där slutar alla spår efter hackaren. Eftersom det går att ändra MAC-adressen har polisen ingenting att följa upp eller fortsätta söka efter. Det kan spekuleras i vilka konsekvenser detta skulle få för Ericsson. Troligen skulle detta vara en skandal för Ericsson eftersom de bär en del av ansvaret för att affärshemligheter kunde stjälas från Nokia. Samtidigt skulle säkerligen många undra om det verkligen var ett sammanträffande att affärshemligheter försvann från Nokia och att Ericsson var olyckligt ovetandes. Det är lätt att dra slutsatsen utan spekulationer att detta är ett scenario som Ericsson i synnerhet skulle vilja undvika att hamna i. Nu när riskerna med osäkra trådlösa nätverk är framställda beskrivs de olika säkerhetsprotokoll som används som skyddsmekanismer. 8

17 3.5 WEP Wired Equivalent Privacy (WEP) som är en del av standarden som var tänkt att skydda information som sprids över radiovågor mellan basstationen och de trådlösa nätverkskorten. WEP algoritmen används för att skydda trådlös kommunikation mot tjuvlyssning (eng. eavesdropping) och för att förhindra att obehöriga användare får tillträde till det trådlösa nätverket. Det bör noteras att det i standarden inte är ett uttryckligt mål att förhindra obehöriga åtkomst till det trådlösa nätverket, men det är ofta ansett att detta är en funktion som WEP erbjuder [7]. Andra menar att det stod klart från början att WEP aldrig var avsett som en heltäckande säkerhetslösning [39]. WEP betraktas idag som ett osäkert protokoll och det finns färdiga program att hämta hem från Internet för att knäcka WEP Säkerhetsmekanismer i WEP WEP erbjuder två sätt för klientautentisering: öppen autentisering (eng. open authentication) och delad nyckelautentisering (eng. shared-key authentication). Med öppen autentisering krävs det att klienten har korrekt WEP-nyckel innan den kan skicka eller ta emot information från basstationen. WEP brukar beskrivas som ett protokoll med statisk nyckelhantering. Detta medför att varje användare i det trådlösa nätverket har identiska WEP-nycklar för kryptering respektive dekryptering. Basstationerna har samma identiska WEP-nyckel som klienterna. Det finns i WEP inget sätt att dynamiskt byta dessa WEP nycklar, vilket innebär att IT-administratören måste byta nycklarna manuellt på alla trådlösa klienter. Detta medför att det blir administrativt omöjligt att byta nycklar i en större organisation [10]. Om en bärbar dator med en konfigurerad WEP-nyckel blir stulen eller borttappad, kan det ta ett par dagar innan IT-administratören blir varse om detta. Då tvingas administratören att byta nycklarna manuellt på alla bärbara datorer och basstationer. Detta pga. att WEP-nyckeln hos t. ex.3com:s mjukvara sparas i Windowsregistret okrypterad [27]. Vid det laget kan skadan redan vara skedd eftersom den försvunna bärbara datorn har gett tillgång till det trådlösa nätet en tid. Med delad nyckelautentisering skickar basstationen en klartextsutmaning (eng. challenge text) till klienten som klienten måste kryptera med korrekt WEP-nyckel och skicka tillbaka till basstationen. Basstationen kontrollerar sedan svaret genom att själv kryptera utmaningen och jämföra svaret från klienten med detta. Om klienten inte har korrekt WEP-nyckel eller ingen nyckel misslyckas autentiseringen och klienten vägras tillträde till det trådlösa nätverket. Basstationen och klienten har en gemensam nyckel för all kryptering resp. dekryptering av trafik, därav namnet delad nyckelautentisering. Delad nyckelautentisering anses osäker eftersom en hackare som tjuvlyssnar på trafiken kan avlyssna både klartextsutmaningen och dess krypterade motsvarighet och därefter dechiffrera ut WEP-nyckeln [10]. Leverantören Lucent har utvecklat en proprietär säkerhetsfunktion som heter säker nätverksåtkomst (eng. secure access mode) som kräver att alla klienter måste ha korrekt nätverksnamn s.k. SSID (eng. Service Set Identifier) konfigurerat för att beviljas tillträde till det trådlösa nätverket. SSID:t fungerar som en delad hemlighet mellan basstationen och de trådlösa klienterna. Denna metod erbjuder ingen säkerhet eftersom SSID skickas med i klartext. Som standardinställning skickas SSID ut via en broadcast-funktion, dvs. basstationen sänder ut till alla klienter som lyssnar vad dess SSID är. Denna inställning 9

18 kan stängas av men stoppar inte en hackare från att ta reda på SSID:t eftersom det skickas ut i klartext när en klient ansluter sig till det trådlösa nätverket via basstationen [10][21][27]. En hackare som avlyssnar trafiken behöver bara vänta tills en legitim användare associerar med nätverket för att se SSID:t. Lucents säkra access tillstånd kallas också ibland för åtkomstkontroll för låsta nätverk (eng. closed network access control) i vissa sammanhang men fungerar på samma sätt. Det bör nämnas att jag har försökt att kontakta Lucent för att kunna bekräfta om denna påvra funktion fortfarande erbjuds, dock utan framgång Kända svagheter med WEP Detta avsnitt avser att på ett översiktligt sätt beskriva de mest fundamentala säkerhetsproblemen med WEP. I slutet på avsnittet ges litteraturhänvisningar för den mer intresserade läsaren. Förhoppningen är att detta avsnitt ska ge läsaren den förståelse som krävs för att inse att WEP inte kan betraktas som ett säkert protokoll. WEP använder en krypteringsalgoritm, RC4 (Rivest Cipher 4), som designades från början av Ron Rivest, en av de tre personerna som skapade den berömda RSAkrypteringsalgoritmen och är högt respekterad inom kryptologin. En krypteringsalgoritm är en samling operationer som utförs på klartext för att generera chiffertext. Krypteringsalgoritmer brukar utvärderas med hänsyn dels till hur stark krypteringen är och dels hur lätt den är att implementera. Styrkan på en krypteringsalgoritm mäts efter hur svårt det är att knäcka chiffertexten [3]. Ett säkerhetssystem kan vara baserat på strömkryptering eller blockkryptering. RC4 är ett strömkrypto som används för kryptering och dekryptering. Ett strömkrypto tar information (klartext) och skapar en sekvens av krypterad information (chiffertext). Tanken är att det ska se ut som om den krypterade informationen som skickas är slumpmässig information oavsett vilken information som krypteras. RC4 är en symmetrisk algoritm vilket innebär att samma hemliga nyckel används för att kryptera som för att dekryptera chiffertexten. Det som gör WEP osäkert är inte att RC4 algoritmen används utan det är det sätt som den har implementeras på som gjort algoritmen osäker [7][37]. Strömkrypteringen i RC4 skapar en unik nyckel för varje krypterat datapaket med information. Detta görs genom att kombinera olika egenskaper från det i förväg delade (mellan trådlös användare och basstation) lösenordet, tillståndsvärde samt ett värde känt som initialiseringsvektor (eng. Initialization Vector) för att få informationen att bli blandad. Resultatet blir en ström av information, även kallad nyckelström (eng. key stream). Chiffertexten skapas sedan genom att sändaren använder den binära operationen XOR på nyckelströmmen och klartexten. Eftersom USA har lagar som förbjuder export av krypteringsalgoritmer beroende på styrka (antal bitar i krypteringsnyckel) angav standarden för WEP endast 64 bitars kryptering som krav. Många leverantörer valde att ändå erbjuda 128 bitars kryptering som en extra funktion. IV:n är oberoende av vilken krypteringsversion av WEP som används. WEP med 64 bitar ger en IV på 24 bitar och WEP med 128 bitar ger också en IV med 24 bitar om inte leverantören själv valt att implementera en IV större än 24 bitar. Det bör nämnas att ingen sådan implementation påträffats under hela examensarbetets tid. Detta betyder att krypteringsalgoritmen med 128 bitar inte är starkare än en 64 bitars version av WEP [27]. Detta kommer att förklaras 10

19 närmare i kommande stycke eftersom det som har varit det största säkerhetsproblemet med WEP är initialiseringsvektorn (IV). Initialiseringsvektorn i WEP Initialiseringsvektorn används för att kryptera varje datapaket med en unik nyckel. Detta görs genom att sammanfoga det i förväg delade lösenordet med IV:n för att skapa en ny och exklusiv datapaketsnyckel för varje datapaket som skickas över WLAN:et. För att mottagaren ska kunna dekryptera datapaketen måste mottagaren ha IV:n samt den delade hemliga nyckeln. Eftersom det används en ny IV för varje datapaket måste den till datapaketen hörande IV:n skickas med för att dekryptering ska vara möjlig. Detta är en bra funktion eftersom den ska minimera risken att ingen nyckel används två gånger. Det är implementeringen av IV:n som bidrog till att protokollet fick en utmärkande svaghet. I den ursprungliga standarden för trådlösa nätverk specificerades det inte hur IV:n skulle genereras. Standarden krävde inte heller att IV:n skulle ändras överhuvudtaget, något som många finner mycket märkligt [3][7]. Varför detta är ett problem kommer att förklaras i detalj. Om en person som tjuvlyssnar lyckas att avlyssna trafik som innehåller två datapaket krypterade med samma IV och således samma nyckelström kan personen använda detta i en statistisk attack. Genom att använda XOR på de två datapaketen som använder samma IV erhålls samma XOR som användes för de två klartextmeddelandena. När denna XOR är känd kan den användas av tjuvlyssnaren för att dra slutsatser om klartextinnehållet i de två datapaketen. Genom att göra kloka gissningar kan tjuvlyssnaren eliminera många otänkbara möjligheter om innehållet i de två datapaketen. Det räcker inte med endast två datapaket med samma IV för att ta reda det exakta innehållet i dem. Tjuvlyssnaren kan lyssna efter fler s.k. IV kollisioner, dvs. datapaket som krypteras med samma IV. Det behövs endast ett litet antal datapaket med samma IV för att en statistisk analys av datapaketen ska lyckas. När hela klartexten kan erhållas för ett datapaket, kan klartexten för alla andra datapaket krypterad med samma IV fås, eftersom alla parvis XORoperander är kända. Eftersom IV:n i WEP är ett fält bestående av 24 bitar finns det endast 2 24 = stycken olika möjliga värden som IV:n kan anta. Intuitionen säger att en hackare måste vänta på att 17 miljoner datapaket skickas för att kunna dekryptera all information som skickas över det trådlösa nätverket. Det stämmer inte alltid eftersom olika tillverkare har valt att implementera IV:n på olika sätt. Beroende på tillverkarens implementation kan antal datapaket, som måste avlyssnas innan dekryptering blir möjlig, minskas eftersom IV-kollisioner sker innan 17 miljoner datapaket har skickats. 17 miljoner datapaket är ett litet tal i samband med datakommunikation. En IV med 24 bitar garanterar IV kollisioner redan efter 5-7 timmar [3][7]. En beräkning illustrerar detta. Antag att en basstation konstant sänder 1500 byte med en hastighet på 11 Mbps. Tiden det tar innan ca 17 miljoner datapaket har skickats fås genom: b 2 = sekunder b s 5 timmar 11

20 I verkligheten kan tiden minskas ytterligare eftersom alla datapaket inte har max storleken 1500 byte. Detta betyder teoretiskt att en hackare som avlyssnar trafik från en vältrafikerad basstation redan efter 5-7 timmar kan knäcka 64 bitars kryptering med WEP med en enda användare. I vissa fall betydligt snabbare, Cisco m.fl. uppger att en 128- bitars nyckel kan knäckas inom 15 minuter på ett vältrafikerat trådlöst nätverk [10][27]. Att det finns program som knäcker WEP på så kort tid förklaras med att sannolikheten för IV kollisioner ökar proportionellt mot antal användare som använder det trådlösa nätverket. Det bör understrykas att detta är två citerade exempel på uppgivna tider för att knäcka WEP-kryptering. Om samma testmöjligheter ges för standarden för 64-bitars WEP samt 128-bitars är det ingen skillnad i tid att knäcka de olika WEP-krypteringarna. Det finns idag färdiga program som AirSnort, WEPCrack m.fl. för att knäcka WEP som kan hämtas hem från Internet [3][6][7][10][37]. Eftersom alla användare samt alla basstationer använder samma statiska WEP-nyckel kan all trafik i det trådlösa nätverket användas för att knäcka WEP-nyckel. När detta är gjort kan all trafik dekrypteras i realtid [7]. Ett annat problem med WEP som är känt är att WEP inte erbjuder säkerhetstjänsten Dataintegritet. Det enda WEP gör för att kontrollera att ingen har modifierat det mottagna datapaketet är att beräkna en s k CRC-32-checksumma. En checksumma finns med i protokoll som en felsökningsfunktion. Ibland blir det fel i en dataöverföring och en bit som var en 0 kan plötsligt bli en 1. CRC-32-checksumman är en sådan felsökningsfunktion som kontrollerar detta. Ur säkerhetssynpunkt är den dock underkänd. Detta eftersom en hackare kan ändra om i datapaketet och sedan beräkna korrekt checksumma för det nya modifierade datapaketet och sedan skriva in den nya checksumman och skicka vidare datapaketet. För mottagaren ser detta ut som ett giltigt meddelande. För fördjupad förståelse inom WEP med mer bakgrund och teknisk beskrivning hänvisas till källorna [3][7][37] X/EAP IEEE 802.1X är en standard för autentisering av nyanslutna användare till nätverk. Den har som uppgift att skapa ett sätt för att få en central autentiseringsprocess och en dynamisk nyckeldistribution [3][52]. Standarden är framtagen av arbetsgruppen i som kombinerar 802.1X och Extensible Authentication Protocol (EAP) för att få denna förbättrade funktion [3][52] X och EAP ger tillsammans tre olika funktioner [3][52]: Ömsesidig autentisering mellan klient och autentiseringsserver. Krypteringsnycklar erhålls dynamiskt efter autentisering. Centraliserad policy kontroll, där session-time out tvingar en ny autentisering och en ny nyckelgenerering. 12

21 Detta är en standard för portbaserad autentisering, vilket betyder att autentiseringen sker en gång för varje kontakt (vägguttag). Om den anslutna datorn i sin tur har flera användare, så anger 802.1X inget sätt för varje användare att autentisera sig [3][30][52] X designades först för tråddragna nätverk men idag är den en vedertagen standard som autentiseringsmetod för trådlösa nätverk [30]. Eftersom 802.1X kräver autentisering av nyanslutna användare är den tillämpbar i trådlösa nätverk där användare ofta byter plats X använder sig av ett protokoll EAP (Extensible Authentication Protocol, RFC 2284) som möjliggör att en mängd olika autentiseringsprotokoll kan användas tillsammans med 802.1X X med EAP finns på lager 2 i OSI-modellen. De olika EAP autentiseringsmetoder som finns i 802.1X är: EAP-MD5 EAP-TLS EAP-TTLS EAP-LEAP EAP-PEAP EAP-SecurID och med fler protokoll på väg. Alla EAP autentiseringsmetoder har för och nackdelar beroende på vilken miljö de implementeras i. När det här examensarbetet påbörjades (Oktober 2003) fanns det många källor som hävdade att vissa EAP-metoder var säkra och inte hade några kända attacker som komprometterade deras säkerhet. Många av dessa källor är felaktiga eftersom en stor del av EAP-metoderna är de facto sårbara för s.k. Man-in-the-Middle-attacker [3][35]. Problemet som ger upphov till att en man-in-the-middle-attack är möjlig kallas The Compound Binding Problem och grundas, i korta ordalag, på att det inte finns någon kryptografisk länk mellan två olika protokoll, när ett klartextprotokoll tunnlas i ett krypterat protokoll. Teorin menar att det inte finns någon möjlighet att avgöra huruvida användaren som sätter upp den krypterade tunneln också är samma användare som sänder sina autentiseringsvärden (användarnamn samt lösenord). Närmare beskrivning av manin-the-middle-attacker kommer att ges i kapitlet 4.4 Insättningsattacker. För mer information och djupare förståelse om man-in-the-middle-attacker hänvisas till [35]. Jag har försökt att sammanställa rapporterna över de EAP-metoder som finns för att åskådliggöra vilken säkerhetsnivå de tillhör. Dock vill jag här påpeka att det senaste Internet förslaget [25] (eng. Internet Draft) på en ny standard för att lösa de olika problemen med man-in-the-middle-attacker för de drabbade EAP-metoderna anslogs , dvs. under samma tid som detta examensarbete skrevs. Detta kan innebära att det kan komma att ändras så att vissa här nämnda EAP-metoder som framhålls som osäkra av [3][35] kan ändras för att uppnå god säkerhetsnivå. Dock skall nämnas att ett s.k. Internet förslag för en kommande standard kan cirkulera under lång period innan förslaget antas som standard. Protokollet PEAP är fortfarande ett Internet förslag och hann inte bli antagen som standard innan problemet med man-in-the-middle-attacken uppdagades. De EAP-metoder och deras egenskaper samt svagheter som omfattar autentisering i trådlösa nätverk redovisas i tabell 1 på nästa sida. 13

22 EAP metod EAP- MD5 Dynamisk nyckelhantering Ömsesidig autentisering Användar ID samt lösenord NEJ NEJ JA EAP-TLS JA JA NEJ EAP-SRP JA JA JA EAP- LEAP EAP- SecurID EAP- TTLS EAP- PEAP JA JA JA NEJ NEJ NEJ JA JA NEJ JA JA NEJ Sårbar för Ordboksattack [31] Man-in-themiddle-attack [31] Kapning av TCPsession [31] Ordboksattack [31] Ordboksattack [31] Man-i-mitten attack [31] Kapning av TCPsession [31] Man-i-mitten attack [35] Man-i-mitten attack [35] Tabell 1. Tabell över EAP-metoder som används i WLAN. Kommentarer Osäker Lätt att implementera Finns som stöd hos många servrar Kräver klientcertifikat Ökar kostnader för underhåll Ömsesidig autentisering med smartcards alternativt mjukt certifikat Inga certifikat krävs servern verifierar användarnamn och lösenord Ordboksattacken utförs mot servern som autentiserar Ciscos proprietära protokoll Basstationen måste ha stöd för LEAP Använder PIN eller engångslösenord Kräver tunnlad autentisering Skapar en TLS (SSL)- tunnel Stöder flera äldre autentiseringsmetoder som PAP, CHAP mm. Användarnamnet är krypterat, d v s syns inte för alla. Skapar en TLS (SSL)- tunnel Användarnamnet är krypterat, d v s syns inte för alla. 3.7 WPA Wi-Fi Protected Access (WPA) är en specifikation av standardbaserade interoperatibla säkerhetsförbättringar, som kraftigt förbättrar säkerhetsnivån för existerande och framtida trådlösa nätverk. WPA släpptes av Wi-Fi Alliance i oktober Wi-Fi Alliance kallas 14