Raine Kervinen

WLAN-autentikointia

Johdanto

Tutkielmassa luodaan yleiskatsaus Ciscon kehittämään järjestelmään, jonka avulla voidaan ehkäistä WLAN-tukiasemien luvatonta käyttöä hyökkäystarkoituksiin. Tutkielmassa esitellään tyypilliset WLAN-tukiasemien avulla tehtävät hyökkäykset, joiden ehkäisemiseen kyseinen teknologia pyrkii. Kyseisen teknologian arvioinnissa pyritään myös tuomaan esille sen mahdolliset vahvuudet ja heikkoudet perustellusti. Tutkielmassa käsitellään aihetta ainoastaan dokumenttien tasolla, varsinaista käytännön testausta ei ole ainakaan tähän tietoon mahdollista suorittaa, koska minulla ei ole pääsyä sellaisiin laitteisiin, jotka ominaisuutta tukisivat.

Lyhennelista

MFP = Management Frame Protection

WPA, WPA2 = Wi-Fi Protected Access

VPN = Virtual Private Network

AP = Access Point

MF = Management Frame

IE = Informational Element

IDS = Intrusion Detection System

DoS? = Denial of Service

MIC = Message Integrity Check

BSSID = Basic Service Set ID

WLC = Wireless LAN Controller

NTP = Network Time Protocol

FCS = Frame Check Sequence

LWAPP = Lightweight Access Point Protocol

WCS = Wireless Control System

Taustatietoa Management Frame Protection -järjestelmästä (MFP)

802.11 -protokolla sisältää hallintakehyksiä, jotka ovat aina autentikoimattomia ja salaamattomia, jopa silloin, kun käytössä on korkeimman luokan turvallisuusmekanismit, kuten WPA, WPA2 tai VPN. Toisin sanoen 802.11:n hallintakehykset lähetetään aina turvattomasti, toisin kuin dataliikenne, joka salataan esimerkiksi WPA:n tai vastaavan avulla. Tämä tilanne mahdollistaa luonnollisesti hyökkääjälle useita vaihtoehtoisia tapoja aiheuttaa vahinkoa jollekin käyttäjälle. Käytännössä hyökkääjän on siis onnistuttava huijaamaan käyttäjää siten, että hyökkääjä lähettää käyttäjälle virheellisen hallintakehyksen, jolloin käyttäjä olettaa asioivansa AP:n (Access Point) kanssa. [1]

Huomionarvoista on, että Management Frame Protection (MFP) –järjestelmän voi ottaa käyttöön ainoastaan reitittimille, kytkimille, yms. laitteille. Asiakaslaitteet eivät voi käyttää kyseistä menetelmää hyväkseen. Asiakaslaitteelle nämä hallintakehykset eivät edes suoranaisesti näy, sillä asiakkaalle lähetettävä MF (Management Frame) sisältää ylimääräisen IE:n (Informational Element), mutta asiakaslaite ei ota sitä huomioon. Koska asiakaslaite ei pysty osallistumaan suoranaisesti MFP-järjestelmään, niin ne eivät myöskään ole turvassa väärennetyiltä hallintakehyksiltä. Asiakaslaitteet ovat vaarassa jatkuvasti, mutta MFP:n avulla AP voi havaita, jos joku on lähettänyt väärennetyn hallintakehyksen asiakaslaitteelle. Tämän tiedon perusteella voidaan luoda IDS:n (Intrusion Detection System) avulla hälytys, johon ylläpitäjä voi reagoida. [1]

Yleisimmät hyökkäystavat, joita varten MFP on kehitetty

  • Palvelunestohyökkäys (DoS?) WLANiin

Hyökkäys jossa hyökkääjä pyrkii samaan verkkoon turhaa liikennettä mahdollisimman paljon ja näin häiritä verkon oikeita käyttäjiä. MFP:llä ei pystytä vaikuttamaan juurikaan kuin yhdenlaiseen DoS?-hyökkäykseen, eli deautentikointikehyksen floodaukseen. Deautentikointikehyksiä generoimalla ja näitä lähettämällä hyökkääjä pyrkii saamaan oikeita käyttäjiä tiputettua verkosta pois [5]. On kuitenkin olemassa useita erilaisia vaihtoehtoisia DOS-hyökkäyksiä. Niistä on mainittu alempana.

  • Man in the middle –hyökkäys

Asiakasta vastaan tehtävä hyökkäys, kun tämä liittyy uudestaan WLANiin. Hyökkääjä pyrkii siis toimimaan välimiehenä ja tarkoituksena on väärentää tieto siitä, kenen kanssa asiakaslaite oikeasti keskustelee. Hyökkääjä esittää siis AP:ta.

  • Offline-sanakirjahyökkäys

Offline-tilan sanakirjahyökkäys on melko hyvä tapa kokeilla murtaa AP:n suojausta. Tämä tapa on huomaamattomampi, kuin online-tilan hyökkäys, joten tämän hyökkäystavan eliminointi on melko tärkeää. Hyökkäyksessä hyökkääjä pyrkii saamaan "challenge-response" viestin käyttäjän ja verkon liikenteestä haltuunsa. Tämän avulla hyökkääjä pyrkii luomaan oman vastaavan viestin käyttäen salasana-sanakirjaa.

MFP:n päätoiminnot

MFP:llä on kolme päätoimintoa:

Management frame protection: Kun MFP on päällä, Access point suojaa kaikki lähettämänsä hallintakehykset lisäämällä viestieheyselementin (Message integrity check information element MIC IE) jokaiseen kehykseen. Jos kehystä yritetään kopioida, muuttaa tai käyttää uudelleen, kehys mitätöi MIC:n, mikä aiheuttaa sen, että jokainen MFP:llä varustettu Access Point ilmoittaa epäjohdonmukaisuudesta. [1]

Management frame validation: AP vahvistaa jokaisen hallintakehyksen (MF), jonka se ottaa vastaan toisilta verkon Access Pointeilta. Kyseinen AP varmistuu siitä, että MIC IE on kehyksessä ja että se täsmää hallintakehyksen sisältöön. Jos AP vastaanottaa kehyksen, joka ei sisällä validia MIC IE:tä BSSID:ltä (Basic Service Set ID), joka kuuluu jollekin AP:lle, niin AP ilmoittaa jälleen epäjohdonmukaisuudesta verkonhallintajärjestelmälle. [1]

Event reporting: AP ilmoittaa WLC:lle (Wireless Lan Controller), milloin se huomaa poikkeaman. Kun WLC saa poikkeavia tapahtumia, se kokoaa ne yhteen ja pystyy raportoimaan tulokset suoraan SNMP:n avulla verkon hallinnoijalle. Jotta tämä ominaisuus toimisi oikein, kaikkien ohjainten on oltava synkronoituja NTP:n (Network Time Protocol) avulla. [1]

MFP:n toiminnallisuus

MFP verkon runkolaitteissa

MFP:tä käytettäessä kaikki hallintakehykset hashataan kryptografisesti, jotta voidaan luoda Message Integrity Check (MIC). MIC lisätään jokaisen kehyksen loppuun, kuitenkin ennen Frame Check Sequencea (FCS).

Keskitetyssä langattomassa arkkitehtuurissa MFP on joko päällä tai pois päältä kontrollerissa. Suojaus voidaan myös halutessa ottaa pois päältä jossain tietyssä WLANissa, kuten myös validointi voidaan poistaa käytöstä halutulta AP:lta.[3]

Suojaus voidaan poistaa käytöstä niistä WLANeista, joita käyttää jokin sellainen laite, joka ei osaa käsitellä ylimääräisiä IE:ta (Information Element).

Validointi on oltava pois käytöstä niillä AP:illä, jotka ovat ylikuormitettuja tai murrettuja.

Kun MFP on päällä yhdessä tai useammassa WLANissa, joka on konfiguroitu WLC:hen, WLC lähettää uniikin avaimen jokaiselle rekisteröidylle AP:lle. Hallintakehykset lähetetään AP:n toimesta niille WLANeille, joissa on päällä MFP. Nämä AP:t nimetään MIC IE kehyssuojan avulla. Mikä tahansa yritys kehyksen muuttamiseksi mitätöi viestin, mikä aiheuttaa vastaanottavassa AP:ssa sellaisen toimenpiteen, että huomattuaan vian kehyksessä, tämä kyseinen AP ilmoittaa epäkohdasta WLAN kontrollerille.[3]

Vaihe vaiheelta prosessi siitä, kun MFP on käytössä roaming-ympäristössä:

  1. MFP globaalisti käytössä, WLC generoi uniikin avaimen jokaiselle AP Basic Service Set:lle (BSS), joista se on tietoinen. Kontrollerit keskustelevat keskenään, jotta kaikki kontrollerit tuntevat kaikki avaimet kaikille AP:eille/BSS:eille kyseisellä toimialueella. Kaikki kontrollerit on konfiguroitava MFP:n osalta identtisesti, jotta järjestely toimii.
  2. Kun AP vastaanottaa MFP-suojatun kehyksen jollekin sellaiselle BSS:lle, josta se ei ole tietoinen, kehys kopioidaan puskuriin ja AP tiedustelee kontrollerilta avainta.
  3. Jos kontrolleri ei tunne BSSID:tä, se palauttaa viestin Unknown BSSID AP:lle ja AP droppaa kaikki hallintakehykset, jotka ovat kyseiseltä BSSID:ltä.
  4. Jos kontrolleri tuntee BSSID:n, mutta MFP on pois päältä kyseisellä BSSID:llä, WLC palauttaa viestin Disabled BSSID. AP tämän jälkeen olettaa, että kyseiseltä BSSID:ltä saaduissa kehyksissä ei ole MFP MIC:tä.
  5. Jos BSSID on tunnettu ja MFP päällä, kontrolleri palauttaa MFP Key:n sitä pyytäneelle AP:lle. Siirto tapahtuu AES:illa saltun LWAPP-hallintatunnelin yli.
  6. AP kätkee näin haltuun saadut avaimet. Tätä avainta käytetään silloin, kun halutaan varmentaa tai lisätä MIC IE.

Asiakaspuolen MFP

Asiakaspuolen MFP salaa ne hallintakehykset, jotka liikennöivät AP:eiden ja CCXv5 asiakkaiden välillä, jotta sekä AP:t, että asiakkaat voivat ennakoida mahdollisiin väärennettyihin kehyksiin droppaamalla ne. Asiakaspuolen MFP käyttää hyväkseen IEEE 801.11i:ssä määriteltyjä turvamekanismeja, joiden avulla voidaan varautua erilaisiin hyökkäyksiin. Asiakas-MFP voi suojata asiakas-AP -sessiota yleisimmiltä palvelunestohyökkäyksiltä. Suojaus perustuu samaan ideaan, kuin mitä datakehyksien suhteen, eli jos AP:n tai asiakkaan vastaanottava kehys ei läpäise salauksen purkuvaihetta, se dropataan ja tapahtumasta raportoidaan WLC:lle.[3]

Jotta asiakas-MFP:tä voidaan käyttää, asiakaslaitteiden täytyy tukea CCXv5 MFP:tä ja neuvotteluvaiheessa on käytettävä WPA2:sta joko TKIP:llä tai AES-CCMP:llä. Asiakas-MFP pikemminkin täydentää palvelin-MFP:tä kuin korvaa sen, koska palvelin-MFP huomaa ja raportoi kelvottomista unicast-kehyksistä, joita lähetetään sellaisille asiakaslaitteille, jotka eivät tue asiakas-MFP:tä.[3] Asiakas-MFP:n komponentit

  1. Avaimen luonti ja jakelu
  2. Hallintakehysten suojaus ja validointi
  3. Virheraportit

Avaimen luonti ja jakelu

Asiakas-MFP ei käytä samoja avaimen luonti- ja jakelumekanismeja, jotka kehitettiin palvelin-MFP:tä varten. Sen sijaan käytetään IEEE 802.11i:ssä määriteltyjä mekanismeja, kuten jo aikaisemmin mainittiin.[3]

Hallintakehyksien suojaus

Hallintakehyksiä suojataan käyttämällä joko AES-CCMP:tä tai TKIP:tä samaan tapaan, kuin datakehyksien suojauksessa. Suojaus koskee näitä kehystyyppejä:

  • Disassociation
  • Deauthentication
  • QoS? (WMM) action frames

AES-CCMP- ja TKIP-suojatut datakehykset sisältävät sekvenssilaskimen IV kentissä, jota käytetään estämään toiston havaitsemista. Nykyistä lähetyslaskuria käytetään sekä data, että hallintakehyksille, mutta uutta vastaanottolaskuria käytetään hallintakehyksille. Vastaanottolaskurin avulla testataan, että jokaisella kehyksellä on korkeampi järjestysnumero, kuin viimeksi vastaanotetulla kehyksellä. Tällä varmistutaan siitä, että jokainen kehys on uniikki, eikä sitä ole lähetetty toistamiseen.[3]

Virheraportointi

MFP-1:n raportointimekanismeja käytetään raportoimaan kehyksen de-enkapsuloinnissa tapahtuvia virheitä, jotka access point on huomannut. WLC kerää tilastoa siitä, kuinka paljon MFP validointivirheitä tapahtuu ja säännöllisesti lähettää tiedot eteenpäin WCS:lle.[3]

  • LAP:n rekisteröiminen WLC:hen?
  • MFP:n konfiguroiminen?

MFP:n mahdolliset heikkoudet

MFP ei tarjoa minkäänlaista suojaa alla mainittuihin DoS?-hyökkäyksiin, joten hyökkääjällä on täysi mahdollisuus valita mieleisensä vaihtoehto, joka lamaannuttaa WLAN:in tai langattoman päätelaitteen käyttäjän melko täydellisesti. [2]

  • NAV DoS? : Hyökkääjä voi manipuloida NAV:ia (Network Allocation Vector) käyttämällä RTS/CTS –kehyksiä, joiden avulla voidaan pakottaa muut asemat pois verkosta (back-off), jolloin ne eivät tietenkään pysty liikennöimään verkkoon. [2]

  • Pirstaloitu NAV DoS? : Variaatio edellisestä, hyökkääjä käyttää apunaan NULL datakehyksiä, jolla saadaan aikaan samanlainen vaikutus kuin normaalilla NAV DoS? –hyökkäyksellä. Koska datakehykset ovat NULL-tyyppiä, niitä ei ole salattu mitenkään, joten hyökkääjä voi väärentää niitä riippumatta siitä, millainen salaus verkossa on. Hyökkääjä voi tässä tekniikassa kohdistaa hyökkäyksensä erityisen tarkasti jotain tiettyä uhria tai tiettyä verkkoa vastaan, sen sijaan, että hän hyökkäisi kaikkia verkon laitteita vastaan, jotka ovat kantomatkan päässä. [2]

  • Beacon invalid channel DoS? : Monet langattomat kortit seuraavat ihan mitä tahansa kanavaa, joka on lähetetty väärennetyissä beacon kehyksissä. Hyökkääjä voi manipuloida laitetta siirtymään esimerkiksi kanavalle 0. [2]

  • EAPol Start DoS? : Hyökkääjä pommittaa nopealla tahdilla AP:ta ja RADIUS-palvelinta EAP Start –pyynnöillä. Tämä voi aiheuttaa sen, että Access Pointilta loppuu muisti kesken ja se käynnistyy uudelleen. RADIUS-palvelimen suorituskyky laskee dramaattisesti. [2]

  • EAPol Logoff DoS? : Hyökkääjä lähettää EAP Logoff –viestejä kohdeasemalle, esittäen joko RADIUS-palvelinta tai AP:ta. Kohdeasema sulkee yhteyden ja käyttäjä menettää myös oman yhteytensä. [2]

  • PEAP Account Lockout : Koska PEAP-verkot (Protective Extensible Authentication Protocol) lähettävät käyttäjätiedot normaalina tekstinä, hyökkääjä voi kaapata voimassaolevia käyttäjätunnuksia ja yrittää kirjautua sisään järjestelmään kyseisenä käyttäjänä kokeillen erilaisia salasanoja. Tällainen toiminta usein johtaa siihen, että käyttäjätunnus lukitaan, koska vääriä salasanoja on tullut liian useita, ja turvallisuussyistä monet järjestelmät lukitsevat tunnuksen. Lopputuloksena on se, että loppukäyttäjä kärsii palvelunestohyökkäyksestä. [2]

  • Invalid Authentication Request : Hyökkääjä esiintyy haavoittuneena järjestelmänä ja käyttää hyväkseen järjestelmän ominaisuutta, jossa virheellinen autentikointiprotokollan arvo aiheuttaa sen, että autentikointi hylätään ja AP katkaisee käyttäjän yhteyden. [2]

Päätelmät

MFP on varmasti hyvä lisä WLAN-tukiasemien autentikoinnin vahvistamiselle, mutta mitenkään aukotonta tietoturvaa sen avulla ei pystytä saavuttamaan, jos tarkastellaan tietoturvan käsitettä siten, että siihen kuuluvat luottamuksellisuus, eheys ja saatavuus. MFP:n avulla ei pystytä takaamaan palvelun jatkuvaa saatavuutta mitenkään, koska oikeastaan mitä tahansa langatonta laitetta voi edelleen häiritä käyttämällä RF-jamming -tyyppistä hyökkäystä. Tällaisessa hyökkäyksessä tietyille radiotaajuuksille lähetetään häirintäsignaalia, joka estää normaalin hyötyliikenteen, eikä WLAN-verkko yksinkertaisesti toimi ja jos toimiikin, niin hyvin hitaasti ja epävarmasti.

MFP näyttäisi minun mielestäni olevan lähinnä nice-to-have -ominaisuus, enkä usko, että tämän järjestelmän käyttöönotolla tietoturvaa voidaan kovinkaan olennaisesti parantaa - ainakaan osaavaa hyökkääjää vastaan. Kuten tutkielmasta käy ilmi, niin WLAN-tukiasemia on mahdollista pommittaa lukuisilla eri tavoilla, eikä MFP:n enabloiminen poista kuin pienen osan mahdollisuuksista.

Lähteet

Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 16 Nov 2009 - 21:03:03 - TuomasPeippo?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback