Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Segurança em Redes Wireless 802.11b: Ataques e Defesas Marco “Kiko” Carnut, CISSP <kiko@tempest.com.br> Cristiano Lincoln Mattos, CISSP, SSCP <lincoln@tempest.com.br> Evandro Curvelo Hora, M.Sc, <evandro@tempest.com.br> IV Simpósio Segurança em Informática – Novembro/2002 – CTA/ITA, SJC Agenda • Introdução a redes wireless – Origens e utilização – Protocolos e arquiteturas – Dispositivos e cenários comuns • Recursos de (in)segurança em redes 802.11b – Mecanismos de segurança nativos, controle de acesso – Vulnerabilidades nos protocolos – Problemas comuns de configuração – Problemas nos equipamentos • Ataques – Ataques de autenticação, Colisão, Hijacking – Problemas de chave, Wardriving e Warbiking Agenda • Defesas – Segurança em camadas – VPNs, criptografia e Controle de acesso – Configurações rígidas – Isolamento e Monitoração • Auditoria e design – Ferramentas de auditoria, Boas práticas de design • Tendências – Evolução dos protocolos – Recursos de segurança – Novos ataques 2 Objetivos • Dar uma visão geral da tecnologia sem fio 802.11 e alguns cenários de uso • Compreender os recursos de segurança providos pelo padrão 802.11b • Atentar para as fraquezas do padrão, ataques comuns, particularmente fáceis ou especialmente não-intuitivos • Estabelecer uma ligação com os ataques clássicos • Discorrer sobre as comunidades de exploradores de redes wireless • Propor e discutir formas práticas de mitigar as vulnerabilidades Parte I: Introdução às Redes Sem Fio 802.11b Uma brevíssima visão geral Redes Sem Fio • WWANs – Celulares de 2a geração, CDPD, GSM, Mobitex • WLANs – Hyperlan, HomeRF, 802.11 – Nosso focará essencialmente 802.11, mais popular • WPANs – Infra-vermelho, Bluetooth 3 WLANs • Várias possíveis topologias – Access Points (possivelmente vários deles) provendo acesso a redes convencionais ou atuando como repetidores/roteadores entre si – Redes “Ad-Hoc” ou “Peer-to-peer”, sem APs, com topologia variáveil dinamicamente IEEE 802.11: Visão Geral • Camada Física: – Direct Sequence Spread Spectrum (DSSS) – Frequency Hopping Spread Spectrum (FHSS) – Banda ISM de 2.4 a 2.5GHz • Velocidades (bitrates): – 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g) • Alcance típico: – 50 metros em ambientes fechados, 500 metros ao ar livre – Pode variar fortemente dependendo da potência, tipo e disposição das antenas, cobertura por APs, amplificadores Topologias Modo Infra-Estrutura: estende a cobertura geográfica da rede LAN convencional (“de infra-estrutura”) através da cobertura da rede sem fio – Access Point (AP): bridge rede sem fio Ù LAN cabeada – Célula: área coberta por um AP – Basic Service Set (BSS): “conjunto de serviços básicos” de uma célula – Extended Service Set (ESS): “conjunto de serviços estendido” oferecido por todas as células de uma rede de infra- estrutura Modo Ad-Hoc: – Interconexão direta “peer-to-peer” sem APs de dispositivos em uma mesma área (em uma sala, digamos) – Dispensa a “rede infra-estrutura” (LAN convencional cabeada) 4215/M RP Rede de Infra- Estrutura 4 Outras Topologias • Antenas direcionais provêem links ponto a ponto – O comum é usar apenas bridging, para permitir repasse de qualquer protocolo de rede/transporte (TCP/IP, IPX, AppleTalk, etc) – Problemas comuns: broadcasts .2 .237 .238 .241 192.168.254.236/30 192.168.254.240/28 Antena RepetidoraRepetidora Alcance • Em abiente fechado: tipicamente 50 metros • Em céu aberto com antena direcional: 400 metros • Antenas apropriadas e amplificadores podem estender esse alcance para alguns quilômetros • 7 quilômetros com antenas direcionais – Ideais para “links ponto-a-ponto” • Setups especiais podem chegar > 20km Parte II: Segurança e Vulnerabilidades no 802.11 Recursos de segurança do protocolo e suas fraquezas na prática 5 WEP: Wired Equivalent Privacy • Criptografia e autenticação no nível do link wireless – Ou seja, não provê segurança fim-a-fim – Em outras palavras, só no trecho wireless • Furadíssimo, como veremos adiante • Não prescinde outros mecanismos “tradicionais” de segurança – Muito pelo contrário, torna-os muito mais necessários, dado que introduz vários novos riscos Serviços do WEP • Autenticação: garantir que apenas estações autorizadas possam ter acesso à rede – Somente pessoas autorizadas podem se conectar na minha rede? • Confidencialidade: dificultar que um interceptador casual compreenda o tráfego capturado – Somente as pessoas autorizadas podem ver meus dados? • Integridade: – Temos certeza que os dados transitando na rede não foram adulterados? Autenticação no 802.11 • Não-criptográfica: – Modo aberto: SSID nulo – Modo fechado: requer SSID específico • Trivialmente suscetível a ataque de replay • Criptográfico: – Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP – O AP autentica o cliente – O cliente não autentica o AP – Suscetível a vários ataques, inclusive o famoso “man-in-the- middle” Pedido de Autenticação Gera núm aleatório (“desafio”) Desafio Cifra com RC4 usando chave WEP Resposta Confirmação Decifra e verifica se igual ao original 6 Warchalking • Marcas com giz identificando locais onde há conectividade wireless e os parâmetros da rede NodeDB.com • Warchalking via Web: BD de APs WorldWideWardrive.org 7 WarChalking Brasil Cantennas & Manifestos • Antenas direcionais improvisadas com caixas de batatas fritas “Pringles” • Viraram uma pequena indústria amadora própria WarLinux • Distribuição do Linux em CD bootável com todos os drivers e ferramentas pré-instalados 8 Warwalking com o iPaq Criptografia WEP Chave secreta 40 bits Gerador de VIs 24 bitsCarga do pacote CRC Carga do pacote CRC ⊕ Pacote cifrado CRC RC4 Chave secreta 40 bits Gerador de VIs 24 bits RC4 ⊕ Pacote original decifrado CRC PRNG RC4 • Algoritmo de cifragem proprietário da RSADSI – Otimizado para implementação rápida em software – Era segredo industrial da RSADSI até ser analisado por engenharia reversa e postado na rede em 1994. – Implementável de cabeça em pouco mais de um minuto. – Chave de até 2048 bits – Stream cipher: entrada e saída de 8 bits (1 byte) de cada vez – Desconfortavelmente simples, mas seguro se usado com algumas precauções while (length--) { x--; sx=state[x]; y+=sx; sy=state[y]; state[y]=sx; state[x]=sy; *data++ ^= state[ (sx+sy) & 0xFF ]; } 9 Críticas à criptografia WEP • Gerenciamento de chaves – Totalmente manual • Chaves raramente são mudadas (quando em absoluto) • Mudar chaves de centenas ou milhares de placas em uma instalação típica é insano • Tamanho de chaves pequeno – A maior parte das placas/instalações só suporta 40 bits • Feito, à época, para evitar problemas de exportação • Placas com cripto de 104 bits custam bem mais caro e são mais raras • Padece de várias fraquezas criptográficas fundamentais Cifras de Vernam: Propriedades • Propriedades do ⊕ (XOR): – a ⊕ a = 0 – a ⊕ 0 = a • Isso torna perigoso jamais reusar a mesma chave: – c1 = p1 ⊕ RC4(k,IV) e c2 = p2 ⊕ RC4(k,IV) – c1 ⊕ c2 = ( p1 ⊕ RC4(k,IV) ) ⊕ ( p2 ⊕ RC4(k,IV) ) – = p1 ⊕ p2 ⊕ RC4 (k,IV) ⊕ RC4 (k,IV) – = p1 ⊕ p2 • Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam fácil prever ou deduzir p1 ⊕ p2 Como ler tráfego WEP • IV de 24 bits é muito pouco – O padrão WEP não especifica como gerar o IV – Algumas placas o fazem sequencialmente • Fácil de prever e detectar • E ainda resetam para zero quando o cartão é reinserido – Algumas placas o fazem aleatori- amente • O Paradoxo do Aniversário nos dá 50% de chan- ce de repetir um mesmo IV após apenas 4823 pacotes 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0 60 0 12 00 18 00 24 00 30 00 36 00 42 00 48 00 54 00 60 00 66 00 72 00 78 00 84 00 90 00 96 00 Número de Pacotes Pr ob ab ili da de d e C ol is ão 10 Como ler tráfego WEP – O CRC torna trivial descobrir se você acertou o par (IV, K) • Ataques ativos – Chosen-Plaintext Attack: Mandealgo cuja resposta é previsível (email, por exemplo) e o AP gerará um texto plano conhecido para você. • Chaves má escolhidas – Suscetíveis a ataques clássicos de dicionário – Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é sempre zero – Firmwares mais recentes usam um gerador de chaves Integridade WEP • CRC (Cyclic Redundancy Check) de 32 bits é computado para cada pacote e anexado ao pacote – CRCs são otimizados para detectar erros de transmissão – São notoriamente inadequados para prover garantias criptograficamente aceitáveis contra adulteração intencional • Também burlável: – É viável fazer alterações no texto cifrado e “compensar” o CRC • Já aconteceu outras vezes, no SSH1 e no PPTP da MS – Deveria ter sido usado um MAC (Message Authentication Code) com resistencia criptográfica, à base de MD5 ou SHA1 APs impostores • Em redes em modo abertas, quem impede um atacante de instalar seu próprio AP? • Mesmo em redes fechadas, descobrindo-se os parâmetros e a chave WEP, fica fácil montar ataques man-in-the-middle • É visível, porém, para alguns softwares de monitoração 11 Backdoors nos firmwares? • Envia-se a string “gstsearch” em um broadcast (!) para a porta UDP 27155 e o AP responde com: – Senha do administrador – Chave mestra WEP – Filtro de MAC • Testado como vulnerável: WISECOM GL2422AP-0T • Suspeita-se vulnerável (baseado no mesmo firmware): – D-Link DWL-900AP+ B1 version 2.1 and 2.2 – ALLOY GL-2422AP-S – EUSSO GL2422-AP – LINKSYS WAP11-V2.2 • http://archives.neohapsis.com/archives/bugtraq/2002- 11/0008.html Avenida para ataques clássicos • Todos os ataques clássicos de TCP/IP se aplicam normalmente – amplo playground: – ARP spoofing: redirecionar tráfego para o impostor via falsificação/personificação do endereço MAC – DNS spoofing: redirecionar tráfego para o impostor via adulteração dos pacotes DNS – Smurf: sobrecarga de broadcasts para negação de serviço/saturação do canal – DHCP spoofing: servidor DHCP impostor força configuração imprópria dos clientes – (...) Ataques de Engenharia Elétrica • 2.4GHz é a mesma faixa dos magnetrons dos fornos de microondas – De fato, várias placas de rede tem um modo “MW interference resistant”, mas apenas aos pulsos residuais – Experimento potencialmente destrutivo: • Desmonte o magnetron de um forno de microondas (~1000 Watts) • Ponha-o no foco de uma parabólica • Mire em uma antena direcional ou AP • Alguns sistemas de iluminação geram interferência justamente nessa faixa • Nem de longe LPI (Low-Probability of Intercept)-compliant: totalmente inadequado para aplicações militares 12 Ferramentas, Software & Distros • NetStumbler – http://www.netstumbler.com • WarLinux – http://sourceforge.net/warlinux • AirSnort – http://airsnort.shmoo.com/ • WepCrack – http://sourceforge.net/projects/wepcrack Checkpoint • A abrangência geográfica muito maior e às vezes não- intuitivamente distante de uma rede sem fio viabiliza perpetrar ataques ativos e passivos sem necessidade de se sequer chegar perto dos controles de segurança física das empresas: mudança de paradigma. • O WEP tem falhas estruturais graves que falham em prover a segurança a que se propõe e detém um atacante por no máximo algumas dezenas de horas, independente do modelo da placa quantidade de bits da criptografia. • O protocolo 802.11 é suscetível a diversos ataques de negação de serviço, alguns deles fisicamente destrutíveis Checkpoint • Não raro, APs contém backdoors • O risco de acesso indevido se estende não só às redes de infra- estrutura como também aos notebooks remotos, que costumam ser mais desprotegidos • É muito fácil colocar-se APs impostores • Deve-se, portanto, tratar os links wireless como de alto risco, sem confiar em nenhum dos seus recursos inerentes • Há uma ampla comunidade ativa e coordenadamente explorando links wireless desprotegidos puramente por hobby • Enfim, as redes wireless não apenas não resolvem os problemas clássicos, mas agregam novos problemas próprios 13 Parte III: Algumas defesas e soluções Segurança em profundidade em ação Minimizando as Vulnerabilidades • Segurança em Camadas/em profundidade – Uso de vários recursos de segurança/contenção mutuamente independentes – Na falha de um, o outro “absorve do impacto” • Segmentação e contenção usando firewalls • Configuração minuciosa dos APs • VPNs (Redes Virtuais Privadas) • Rotacionamento de chaves WEP • Blindagem e firewalling dos clientes • Monitoração internet Arquitetura “Segura” Típica “Fazenda” de Servidores: DMZ Rede Extranetfirewall Rede Interna . . . 4215/M RP Rede Perimetral (para clientes, parceiros, etc) 14 • Elimina o bridging – Contém os broadcasts – Só permite tráfego IP • Objetivo primário – Defender a rede cabeada “Infrastructure Network” • Firewalling avançado – Controle de banda/QoS – Autenticação dinâmica – Bridge firewalling 4215/M RP Firewalling na rede de Infra • Permite gerenciamento e oferecimento de serviços mais granular – Firewalling, DHCP, VPN, etc. • OpenBSD e Linuxes fazem bons APs • Possivelmente não provê alguns recursos avançados de alguns APs – Roaming, etc. 4215/M RP Faça seus próprios APs • Firewalls em cada nó móvel • Blindagem/patching • Objetivo primário – Defender os nós móveis uns dos outros • Trabalhoso de manter – Requer procedimentos operacionais rígidos e sempre atualizados 4215/M RP “Blindagem” das Estações 15 Monitoração: ARP watch • ARPWatch: – Sniffer especializado em pacotes ARP – Reporta mudanças nos MACs <-> IPs via e-mail para o administrador Subject: New station hostname: <unknown> ip address: 169.254.111.244 ethernet address: 0:2:55:3e:92:2e ethernet vendor: <unknown> timestamp: Wednesday, October 10, 2002 9:21:07 -0200 Subject: changed ethernet address hostname: <unknown> ip address: 172.25.139.66 ethernet address: 0:e0:7d:71:d7:c7 ethernet vendor: <unknown> old ethernet address: 0:e0:7d:cb:53:3a old ethernet vendor: <unknown> timestamp: Tuesday, October 16, 2002 15:11:34 -0200 previous timestamp: Friday, October 5, 2002 19:10:33 -0200 delta: 10 days VPNs: redes virtuais privativas • Encapsulamento IP-IP com criptografia – IPSec em modo túnel: • No Windows: PGPNet, Checkpoint SecuRemote • IPSec nativo no OpenBSD, Free S/WAN no Linux – Outras soluções de VPN: PPTP, vtun em vários Unixes, L2TP – Integração com o firewall no cliente e/ou desktop policies – Requerem infra-estruturas de gerenciamento de chaves • Certificados digitais, shared secrets, etc. – Potencialmente introduz criptografia forte nas camadas IP e acima • Não protege ARP e outros protocolos layer 2 – Alguns probleminhas sempre aparecem • Timeout na primeira conexão por causa de negociação de chaves • Problemas com o Path MTU • Cliente de VPN em cada nó • Requer infra-estrutura de chaves – Shared secret não escala • Nó terminal das VPNs – Host-a-host: requer que todas as máquinas da rede interna sejam VPN-capable – Client-to-gateway: requer que apenas as máquinas remotas o sejam 4215/M RP VPNs nos nós remotos 16 • Implementação mais fácil – Menor número de nós torna shared keys viável – Mais sob o controle dos administradores de rede – Bridge-VPN possível no Linux e talvez alguns outros SOs VPNs em Link Ponto a Ponto 4215/M RP AP “caseiro” firewalled com Linux+IPTables+ Wireless Tools “Repetidora”: Roteador Laywer3 OpenBSD Não participa da VPN •ARP Estático •MRTGs próprios •Modems para acesso de manutenção FW Corporativo Rede Local Matriz Rede Local Filial Rotacionamento de Chaves WEP • Placas wireless freqüentemente têm quatro registradores de chaves – Nem todos os drivers ou interfaces de usuário dão aceso a eles • Uma das chaves é definida como sendo a chave de transmissão • Usa-se um PRNG baseado em semente para gerar chaves WEP a cada 5 minutos a partir de uma chave mestra • Os registradores são vistos como uma fila circular • A inserção de uma nova chave define a anterior como sendoa de transmissão b9b7a3a6ba f51b31c869 540d170f18 da823af23e e2cdaa634d 4882b9ef03 1081e480af 15bcb3ccc7 89bbc2633d ... b9b7a3a6ba f51b31c869 540d170f18 da823af23e e2cdaa634d 4882b9ef03 1081e480af 15bcb3ccc7 89bbc2633d ... RC4 RC4 Blindagem dos APs • Troque todas as configurações de fábrica e mantenha- nas assim – Troque as senhas padrão e os nomes das comunidades SNMP • De preferência, troque-as frequentemente • Se você não usa SNMP, desabilite-o – Mude os SSIDs – Mude o canal padrão • Controle a função de reset do AP – Evitar volta às configurações padrão de fábrica 17 Blindagem dos APs • Procure usar as versões do firmware mais recentes – Mas no modelo de código fechado, não há garantias de que não haja backdoors • Use criptografia WEP – Ela não resolve, mas dificulta, ainda que por poucas horas • Use MAC-filtering/ACLs onde apropriado – Também não resolve, mas ajuda – Pode se tornar um fardo maior que um benefício se as ACLs ficarem grande • Gerencie – Reinventarie e audite a base instalada regularmente Controle seu serivço IP • DHCP – Restrito por MAC: mesmo overhead de gerenciamento por não escalar para um grande número de estações – DHCP Honeypots/Visitor service: serviço diferenciado para “visitantes” e “internos” • “Se não pode vencê-los, junte-se a eles”... ou melhor, deixe que se juntem a você, mas de forma limitada e controlada • Monitoraçao/QoS diferenciado imposto para os visitantes • Arpwatches em todo lugar • Links redundantes e roteamento dinâmico – Resistência a ataques a quedas naturais e ataques de negação de serviço Atitude de segurança • É importante descer ao nível de detalhe técnico e entender como o tráfego está realmente indo “no ar” • Abordagem de tentar quebrar a própria rede – Não só é divertido, mas é um aprendizado por si só – Dá uma dimensão única do que é prático ou não • Produtos abertos vs fechados – É possível montar soluções bem mais seguras usando soluções abertas, mas isso freqüentemente requer mais aprendizado e dedicação do que muitos admins têm tempo ou ímpeto de dispender – Produtos fechados sempre tentam minimizar chamadas de suporte e invariavelmente priorizam funcionalidade e “plug & play-ness” em detrimento à segurança – Cultura local: propor soluções abertas em uma casa tradicionalmente fechada pode ser heresia – Soluções híbridas podem dar certo 18 Epílogo: Tendências e Conclusões Evolução dos protocolos, defesas e ataques Tendências • TKIP: Temporal Key Integrity Protocol – Fast-Packet keying, Alternate Temporal Key Hash • 802.11x – Extensible Authentication Protocol (RFC 2284) • EAP-TLS para 802.11 – Autenticação via RADIUS ou Kerberos – Mais versatilidade, com mais complexidade... talvez dê mais segurança – Violação do princípio KISS (“Keep It Simple, Stupid”): há necessidade desse nível de contramedidas na camada de enlace? – Promete gerenciamento de chaves • 802.11i – Usará AES (inviável hoje devido a limitações de performance) – Solução de longo termo que supostamente solucionará tudo Fast Packet Keying • Implementável “imediatamente” apenas com um upgrade de firmware • Gera chaves WEP (24+104 bits) a partir de uma chave mestra de 128 bits usando algoritmos baratos de mistura – Importante porque o poder computacional do processador das placas é limitadíssimo 19 Conclusões • A tecnologia 802.11 é prática, cômoda, “cool”, mas seus recursos de segurançã são mal projetados em vários aspectos, expondo inaceitavelmente o trafego. • Como sempre, sobra para o administrador de rede combinar múltiplas tecnologias para prover segurança em profundidade – Segurança não é plug-and-play – Intelectualmente oneroso – Fatores culturais e a atitude de segurança • Há várias tecnologias e estratégias bem estabelecidas que podem ser aplicadas para mitigar as vulnerabilidades introduzidas pelas redes wireless Conclusões • O 802.11X agrega novos recursos de segurança e flexibilidade, mas também mais complexidade. – Historicamente, complexidade, vulnerabilidades e falhas de implementação/projeto andam de mãos dadas. – É ingênuo esperar que os novos padrões resolvam todos os problemas – Especialmente quando se tem a opção de minimizar as vulnerabilidades por outros meios – Interoperabilidade é e vai continuar a ser o grande limitador da segurança: nenhum fabricante vai comprometer a compatibilidade com sua base instalada Referências • Tom Karygiannis & Les Owens, Wireless Network Security: 802.11, Bluetooth and Handheld Devices, 2002, Special Publication 800-48, National Institute of Standards and Technology, U.S. Department of Commerce, http://csrc.nist.gov/publications/drafts/draft-sp800-48.pdf • Sultan Weatherspoon, Overview of IEEE 802.11b Security, Network Communications Group, Intel Corporation, http://www.intel.com/technology/itj/q22000/articles/art_5.htm • Jesse R. Walker, Unsafe at any key size; An analysis of the WEP encapsulation, Intel Corporation, 2000 • William A. Arbaugh, Narendar Shankar, Y.C. Justin Wan, Your 802.11 Wireless Network has No Clothes, Department of Computer Science, University of Maryland, 2001 • Arunesh Mishra, William A. Arbaugh, An initial security analysis of the IEEE 802.1X Standard, Department of Computer Science, University of Maryland, 2001 20 Referências (cont) • Nikita Borisov, Ian Goldberg, Ian Goldberg, Intercepting Mobile Communications: The Insecurity of 802.11, http://citeseer.nj.nec.com/borisov01intercepting.html • Tyson Macaulay, Hardening IEEE 802.11 wireless networks, 2002, http://www.ewa-canada.com/Papers/Hardening_802.11.pdf • Scott Fluhrer, Itsik Mantin & Adi Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, Lecture Notes in Computer Science, 2001, http://citeseer.nj.nec.com/fluhrer01weaknesses.html • Adam Stubblefield and John Ioannidis and Aviel D. Rubin, Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, 2001, http://citeseer.nj.nec.com/541100.html • Russ Housley, Doug Whiting & Niels Ferguson, Alternate Temporal Key Hash, 2002, http://grouper.ieee.org/groups/802/11/Documents/DocumentHolder/2- 282.zip
Compartilhar