WEP – Schwachstellen

Samstag, 23 Februar 2008 21:09 - Geschrieben von René Lindhorst

WLAN-Icon Nachdem ich bereits die Shared-Key-Authentication und die WEP-Verschlüsselung erklärt habe, ist es nun an der Zeit die Schwachstellen von WEP genauer zu betrachten.

WEP sollte für Wireless-LANs eine den drahtgebundenen Netzwerken vergleichbare Sicherheit bieten. Es sollte sowohl die Zugangskontrolle als auch die Abhörsicherheit und Datenintegrität gewährleisten. Spätestens seit 2001 ist jedoch bekannt, dass der Sicherheitsmechanismus diese Aufgaben aufgrund diverser Schwachstellen nicht erfüllen kann.

Die Schwachstellen von WEP, wie sie in der einschlägigen Literatur dargestellt werden, sind:

  • Zu kurze WEP-Schlüssel Die Schlüssellänge von 40 Bit bietet keinen ausreichenden Schutz vor Brute-Force-Angriffen. Ein Angreifer kann durch das Aufzeichnen eines einzigen verschlüsselten Datenpaketes und das systematische Durchprobieren möglicher Schlüssel den richtigen WEP-Schlüssel in kurzer Zeit finden. Ein 104 Bit langer Schlüssel, der erst mit IEEE-802.11i (2004) offiziell in den Standard aufgenommen wurde, ist durch einen solchen Brute-Force-Angriff jedoch nicht in praktikabler Zeit zu bestimmen.
  • Kein Schlüsselmanagement Die statischen WEP-Schlüssel müssen manuell bei allen Clients und Access-Points im Netzwerk getauscht werden. Da die Verteilung auf diese Weise einen hohen Verwaltungsaufwand bedeutet, werden die Schlüssel in der Regel selten oder gar nicht gewechselt. Dies hat jedoch eine starke Gefährdung der Sicherheit zur Folge. Denn somit ist der Schlüsselstrom bei einem statischen sich nie ändernden WEP-Schlüssel nur vom IV abhängig. Da zusätzlich alle Teilnehmer den selben WEP-Schlüssel verwenden, besteht eine erhebliche Gefahr, dass ein Angreifer diesen Schlüssel ermitteln kann.
  • Zu kurze Initialisierungsvektoren Mit einer Länge von 24 Bit gibt es nur eine Gesamtmenge von 2^24 möglichen IVs und das führt zu einer häufigen Wiederverwendung. Somit entstehen aus den wiederholten IVs und dem WEP-Schlüssel auch Schlüsselströme, die bereits verwendet wurden. Ein Angreifer kann durch den unverschlüsselt übertragenen IV solche IV-Kollisionen erkennen und eine sog. Known-Plaintext-Attack durchführen.
  • Schwache Initialisierungsvektoren Einige IVs ermöglichen Rückschlüsse auf den WEP-Schlüssel. Die mit ihnen erzeugten Schlüsselströme korrelieren stärker mit dem WEP-Schlüssel als vorgesehen. Kann ein Angreifer genug Chiffretext aufzeichnen, der mit solchen schwachen IVs erzeugt wurde, so kann er daraus den eigentlichen WEP-Schlüssel ermitteln. Ein solcher Angriff wird als Weak-Attack bzw. FMS-Angriff bezeichnet und ist linear zur Schlüssellänge.
  • Mangelhafte Integritätsprüfung Der ICV ist keine kryptographische Prüfsumme sondern lediglich ein 32 Bit langer CRC (Cyclic Redundancy Check) Wert. Er bietet Schutz gegen zufällige Übertragungsfehler jedoch nicht gegen gezielte Manipulationen eines Angreifers. Ein solcher könnte durch gleichzeitige Manipulation der Nutzdaten und des CRC ein weiterhin gültiges Paket erzeugen. Somit ist das Verfahren wirkungslos, denn weder Sender noch Empfänger könnten denen manipulierten Nachrichteninhalt erkennen. Eine solche Nachrichtenmodifikation wird als Injection-Attack bezeichnet.
  • Fälschbare Authentisierung Ein Angreifer kann die Authentisierung eines anderen Clients beobachten und dabei den IV sowie den Challenge-Text sowohl im Klartext als auch verschlüsselt aufzeichnen. Daraus kann er anschließend den Schlüsselstrom berechnen. Diesen kann er für seine eigene Authentisierung nutzen. Ein solcher Angriff wird als Authentication-Spoofing bezeichnet und gehört zur Klasse der Message-Injection-Angriffe. Auf diese Weise ermittelte Schlüsselströme kann der Angreifer außerdem dazu verwenden, andere verschlüsselte Daten, mit entsprechendem IV, zu entschlüsseln. Die Shared-Key-Authentication ist somit in zweierlei Hinsicht ein Sicherheitsrisiko.
  • Fehlende Access-Point-Authentifizierung Die Access-Points authentisieren sich nicht gegenüber den Clients. Somit ist ein Man-in-the-Middle-Angriff möglich, bei dem sich der Angreifer als Access-Point ausgibt. Dies ermöglicht ihm, die Daten des Clients zu analysieren und ggf. zu manipulieren und anschließend an den richtigen Access-Point weiterzuleiten.
  • Keine Benutzer-Authentifizierung Die Authentifizierung überprüft nicht die Authentizität des Benutzers. Es werden lediglich die WLAN-Adapter authentifiziert. Dazu ist der WEP-Schlüssel auf dem jeweiligen Gerät z.T. sogar im Klartext abgelegt. So kann bspw. ein verloren gegangenes Notebook zum Eindringen in das WLAN verwendet werden.
  • Unverschlüsselte Steuerungsdaten Es werden nur die Nutzdaten, jedoch nicht die Steuerungsdaten verschlüsselt. Somit kann ein Angreifer bspw. die MAC-Adressen aller über das WLAN kommunizierenden Geräte abhören.

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

Diese große Anzahl an Schwachstellen und die diversen Angriffsmöglichkeiten zeigen deutlich, warum WEP heute nicht mehr eingesetzt werden sollte. WPA bzw. WPA2 sind heute die Sicherheitsmechanismen der Wahl um das eigene private WLAN abzusichern. In weiteren Artikeln werde ich diese Sicherheitsstandards noch genauer vorstellen.

Links:
http://standards.ieee.org/getieee802/download/802.11-1999.pdf
http://standards.ieee.org/getieee802/download/802.11i-2004.pdf

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
3 Kommentare

Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar – heise Security

Donnerstag, 21 Februar 2008 23:57 - Geschrieben von René Lindhorst

WLAN-IconPassend zu einem meiner aktuelle Schwerpunktthemen, der WLAN Sicherheit, gab es heute einen kurzen Artikel auf heise Security. Darin ging es um einen in Großbritannien für Aufmerksamkeit sorgenden Fall, indem Sky Broadband einen bestimmten WLAN-Router zwar vorbildlich mit WPA-Verschlüsselung ausliefert aber der PSK dabei von der MAC-Adresse des Gerätes abhängt.

Der Anfang des Artikels hat dabei jedoch besonders meine Aufmerksamkeit erregt:

Dass unverschlüsselte heimische WLANs vielerlei Angriffsmöglichkeiten bieten, hat sich glücklicherweise unter Anwendern rumgesprochen. Viele Hersteller liefern ihre Geräte deshalb mittlerweile mit einem ab Werk eingestellten WPA-Schlüssel aus, der sich von Gerät zu Gerät unterscheidet.

[Voreingestellte WPA-Schlüssel in WLAN-Routern leicht erratbar - heise Security]

Nach meinen Recherchen kann ich mich dieser Aussage jedoch nicht anschließen. Im November 2007 habe ich die Produktpaletten einiger großer Hersteller bezüglich der unterstützten Sicherheitsstandards und der Werkseinstellungen untersucht. Anhand der Daten aus den einzelnen Handbüchern ergab sich folgendes Bild der Standard-Sicherheitseinstellungen:

  • Asus – unverschlüsselt
  • AVM – WPA-Personal
  • D-Link – unverschlüsselt
  • LANCOM – WEP (104Bit)
  • Linksys – 40% unverschlüsselt, 60% ohne Angaben
  • Netgear – 5 unverschlüsselt, 3 ohne Angaben
  • T-Com – Speedport W100XR, W501V unverschlüsselt, W700V mit WPA2, W900V mit WPA

Sollte sich also innerhalb der letzten 3 Monate die Situation nicht drastisch geändert haben, dann ist die Anzahl der WLAN-Router mit WPA-Verschlüsselung ab Werk eher sehr gering!

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
keine Kommentare

WEP – Verschlüsselung

Donnerstag, 21 Februar 2008 15:22 - Geschrieben von René Lindhorst

WLAN-IconNachdem ich im letzten Beitrag kurz die Shared-Key-Authentication beschrieben habe ist nun die WEP-Verschlüsselung an der Reihe. Wie in der Einführung zu WEP erläutert, wird bei der Verschlüsselung mittels WEP der Datenteil der Pakete inklusive einer Prüfsumme verschlüsselt und so zwischen Client und Access-Point ausgetauscht. Durch die symmetrische Verschlüsselung mittels RC4-Algorithmus sollte (!) sichergestellt werden, dass nur Teilnehmer denen der WEP-Schlüssel bekannt ist, über das WLAN kommunizieren können.

WEP-Verschlüsselung nach IEEE-802.11

Der im Standard beschriebene Ablauf der Ver- und Entschlüsselung ist in der Abbildung dargestellt und läuft in den folgenden Schritten ab:

  • Zu Beginn liegt die zu sendende Nachricht im Klartext vor.
  • Über das in ein MAC-Frame eingefügte Nachrichten-Fragment wird eine 32-Bit-Prüfsumme, der so genannte Integritätsprüfwert (Integrity Check Value, ICV), gebildet.
  • Die Daten und der ICV werden anschließend konkateniert.
  • Zum Verschlüsseln dieser wird der zuvor zwischen den Kommunikationspartner ausgetauschte geheime WEP-Schlüssel benötigt. Dieser hat nach dem 802.11-Grundstandard (1999) eine Schlüssellänge von 40 Bit (WEP-64) bzw. 104 Bit (WEP-128) nach IEEE-802.11i (2004).
  • Der WEP-Schlüssel wird mit einem 24 Bit langen Initialisierungsvektor (Initialization Vector, IV) kombiniert, der möglichst für jedes Frame neu gesetzt werden sollte. Aus diesem Gesamtschlüssel (WEP-Seed) entsteht mittels des RC4-Zufallszahlengenerators (Pseudo Random Number Generator, PRNG) ein für die Übertragung einzigartiger Schlüsselstrom (Keystream).
  • Der Schlüsselstrom wird XOR mit den Daten und dem ICV verknüpft. So entsteht der verschlüsselte Datenstrom, der Chiffretext (Ciphertext).
  • Der IV wird unverschlüsselt zusammen mit dem Chiffretext übertragen. So kann der Empfänger den IV mit dem ihm bekannten WEP-Schlüssel kombinieren, um den selben Schlüsselstrom zu erhalten.
  • Eine erneute XOR-Verknüpfung mit dem Chiffretext liefert dann den ursprünglichen Klartext.
  • Um eine korrekte Entschlüsselung sicherzustellen, bildet der Empfänger ebenfalls eine Prüfsumme der entschlüsselten Daten und vergleicht diese mit dem entschlüsselten ICV. Sind beide identisch geht der Empfänger davon aus, dass die Entschlüsselung erfolgreich war und verarbeitet das Paket weiter.

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

Links:
http://www.ieee.org
http://standards.ieee.org/getieee802/download/802.11-1999.pdf
http://standards.ieee.org/getieee802/download/802.11i-2004.pdf

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
keine Kommentare

WEP – Shared-Key-Authentication

Mittwoch, 20 Februar 2008 21:15 - Geschrieben von René Lindhorst

WLAN-IconWie im Einführungsbeitrag zu WEP beschrieben, kommt bei der im 802.11-Grundstandard als optional definierten Shared-Key-Authentication, ein Challenge-Response-Verfahren zum Einsatz. Dieses nutzt einen gemeinsamen geheimen Schlüssel, welcher auch bei der WEP-Verschlüsselung verwendet wird. Nur wer über diesen WEP-Schlüssel verfügt, kann sich gegenüber dem Access-Point authentifizieren.

Authentifizierung nach IEEE-802.11

Die Shared-Key-Authentication läuft wie in der Abbildung dargestellt, in den folgenden vier Schritten ab:

  1. Der Client sendet dem Access-Point einen Authentication-Management-Frame als Authentication-Request. So fordert er den Access-Point auf, den Authentifizierungsprozess zu beginnen.
  2. Der Access-Point antwortet seinerseits mit einem Authentication-Management-Frame der einen zufälligen 128 Byte langen Challenge-Text enthält.
  3. Der Challenge-Text wird vom Client verschlüsselt und als Response in einem Authentication-Management-Frame an den Access-Point zurückgesandt.
  4. Vom Access-Point wird der Chiffretext wieder mit dem WEP-Schlüssel entschlüsselt und nach erfolgreicher ICV-Prüfung mit dem ursprünglich gesendeten Challenge-Text verglichen. In dem Fall, dass beide Werte identisch sind, erhält der Client eine Erfolgsmeldung, andernfalls einen Fehlercode, der die Ablehnung signalisiert.

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

Links:
http://standards.ieee.org/getieee802/download/802.11-1999.pdf

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
3 Kommentare

Wired-Equivalent-Privacy (WEP)

Mittwoch, 20 Februar 2008 19:12 - Geschrieben von René Lindhorst

WLAN-IconIm 802.11-Grundstandard wird das Verschlüsselungsverfahren Wired-Equivalent-Privacy (WEP) als optionale Komponente beschrieben, die eine den drahtgebundenen Netzwerken vergleichbare Sicherheit bieten soll. Als Sicherheitsmechanismus in 802.11-Netzwerken sollte WEP die Vertraulichkeit der übertragenen Daten gewährleisten und eine sichere Authentifizierung ermöglichen. Heute gilt WEP jedoch als unsicher und sollte nicht mehr eingesetzt werden.

Authentifizierung

Bevor ein Client über das WLAN Daten übertragen kann, muss er sich zuerst beim Access-Point authentisieren und assoziieren. Für die Authentifizierung gibt es zwei mögliche Verfahren:

  1. Open System authentication“, die jede Authentifizierungs-Anfrage (Authentication-Request) ohne weitere Prüfung zulässt.
  2. Shared Key authentication“, bei der die Authentifizierung mit WEP abge-
    sichert wird.

Bei der als optional definierten Shared-Key-Authentication kommt, ein Challenge-Response-Verfahren zum Einsatz, das einen gemeinsamen geheimen Schlüssel nutzt. Dieser Schlüssel ist der selbe, der auch bei der WEP-Verschlüsselung verwendet wird und nur wer über diesen WEP-Schlüssel verfügt, kann sich gegenüber dem Access-Point authentifizieren.

Verschlüsselung

Bei der Verschlüsselung mittels WEP wird der Datenteil der Pakete inklusive einer Prüfsumme mittels des RC4-Algorithmus der Firma RSA Security Inc. verschlüsselt und so zwischen Client und Access-Point ausgetauscht. Durch die symmetrische Verschlüsselung sollte sichergestellt werden, dass nur berechtigte Teilnehmer, in deren Besitz sich der WEP-Schlüssel befindet, über das WLAN kommunizieren können.

WEP Übersicht

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

Links:
http://standards.ieee.org/getieee802/download/802.11-1999.pdf
http://www.rsa.com

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
2 Kommentare

« Previous Entries Next Entries »