Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate,...

of 19/19
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel Fachgebiet Integrierte Kommunikationssysteme www.tu-ilmenau.de/iks Mobilkommunikationsnetze - IEEE 802.11 Security - Vorlesung Markus Brückner
  • date post

    15-Jun-2020
  • Category

    Documents

  • view

    6
  • download

    0

Embed Size (px)

Transcript of Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate,...

  • Mobilkommunikationsnetze

    Vorlesung

    1

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    Mobilkommunikationsnetze

    - IEEE 802.11 – Security -

    Vorlesung

    Markus Brückner

  • Mobilkommunikationsnetze

    Vorlesung

    2

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    Sicherheitsziele

    • Vertraulichkeit

    – Schutz gegen unbefugtes Abhören von Nutzertraffic

    auch durch authentifizierte Nutzer untereinander!

    • Integrität

    – Schutz gegen Veränderung der Pakete „in flight“

    • Authentizität

    – Zugriff nur durch befugte Nutzer

    – teilweise: Authentifizierung des Netzes ggü. STA

  • Mobilkommunikationsnetze

    Vorlesung

    3

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    Historisch: WEP

    • Wired Equivalent Privacy (WEP)

    – Verschlüsselung mit RC4-Stromchiffre mit 40 bzw. 104 Bit

    Schlüssel

    – 24-Bit-Initialisierungsvektor zur Vermeidung von

    Schlüsselduplikaten

    – CRC32 zur Sicherung gegen Fehler im Paket

    – gebrochen in allen praktischen Belangen

  • Mobilkommunikationsnetze

    Vorlesung

    4

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    Historisch: Shared Key Authentication

    • Nutzerauthentifizierung durch Kenntnis eines geheimen

    Schlüssels

    – einfaches Challenge-Response-Verfahren

    – AP sendet zufällige Zeichenfolge an STA (Challenge Text)

    – STA verschlüsselt Zeichenfolge nach WEP mit

    gemeinsamem Schlüssel

    – AP entschlüsselt erfolgreich STA ist authentifiziert

    – basiert auf WEP vergleichbar unsicher

  • Mobilkommunikationsnetze

    Vorlesung

    5

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    Aktuell: 802.11i (WPA2)

    • Sammlung von (bisher) als sicher geltenden

    Authentifizierungs- & Verschlüsselungsverfahren

    – Temporal Key Integrity Protocol (TKIP)

    • Designziel: ressourcenschonend wie WEP

    Upgrademöglichkeit für bestehende Systeme

    – CTR with CBC-MAC Protocol (CCMP)

    – Broadcast/Multicast Integrity Protocol (BIP)

    • Schutz von Managementpaketen gegen Veränderung und

    Replay

    – Simultaneous Authentication of Equals (SAE)

    • Authentifizierung zwischen zwei STA mit gemeinsamem

    Passwort

    – 802.1X

  • Mobilkommunikationsnetze

    Vorlesung

    6

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    CCMP

    • bietet Verschlüsselung (Counter Mode, CTR),

    Authentifizierung (CBC-MAC) und Replay-Schutz von

    Nachrichten

    • Basis: CCM (RFC 3610) mit AES mit 128-Bit-Schlüssel

    und -Blockgröße

    • 48 Bit Paketnummer als Schutz gegen Replay und als

    (Teil des) Nonce für Verschlüsselung & Authentifizierung

  • Mobilkommunikationsnetze

    Vorlesung

    7

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    CCMP - CBC-MAC

    • Sicherstellung der Nachrichtenintegrität & -authentizität

    durch kryptografisch sichere Prüfsumme

    – Verschlüsseln der Nachricht im CBC-Modus

    – Speichern des letzten Blocks als Prüfsumme

    (WLAN: 8 von 16 Bytes gespeichert)

    E E E

    m1 m2 mx

    k k k

    Ergebnis

    Nach: http://en.wikipedia.org/wiki/File:CBC-MAC_structure_%28en%29.svg

    0

  • Mobilkommunikationsnetze

    Vorlesung

    8

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    CCMP - Counter Mode

    • Nonce (Flags, Zieladresse, Paketzähler) + Counter

    werden mittel AES verschlüsselt Schlüsselstrom

    • XOR-Verknüpfung mit Klartextblock Ciphertextblock

    Block-Chiffre

    Nonce Counter xyz… 00000000

    Klartext

    Ciphertext

    Nach: http://commons.wikimedia.org/wiki/File:CTR_encryption_2.svg

    Block-Chiffre

    Nonce Counter xyz… 00000001

    Klartext

    Ciphertext

    Block-Chiffre

    Nonce Counter xyz… 00000002

    Klartext

    Ciphertext

    Verschlüsselung im Counter (CTR) Mode

  • Mobilkommunikationsnetze

    Vorlesung

    9

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    CCMP - Counter Mode

    • Vorteile:

    – keine Ausbreitung von Übertragungsfehlern (1 Bitfehler im

    Ciphertext = 1 Bitfehler im Klartext)

    ggf. Fehlerkorrekturmechanismen weiterhin möglich

    – wahlfreier Zugriff auf einzelne Blöcke

    Pakete teilweise entschlüsselbar

    – Ver-/Entschlüsselung parallelisierbar

    Skalierbarkeit bei vielen Paketen (bspw. am AP)

  • Mobilkommunikationsnetze

    Vorlesung

    10

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    CCMP - Replay-Schutz

    • STA hält für jeden Kommunikationspartner einen

    Paketzähler

    • wenn Paketzähler des empfangenen Pakets

  • Mobilkommunikationsnetze

    Vorlesung

    11

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X

    • Infrastruktur zur Kontrolle des Zugriffs auf

    Netzwerkendpunkte (Ports)

    PAE PAE

    EAPOL (bspw.) EAP in RADIUS

    Supplicant Authenticator Authentication Server

  • Mobilkommunikationsnetze

    Vorlesung

    12

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X – EAPOL

    • Extensible Authentication Protocol over LAN

    • Anpassung zur Benutzung von EAP (RFC 3748) über

    LAN-Verbindungen

    • EAP:

    – Framework zur flexiblen Authentifizierung von Endgeräten

    – Flexible Verwendung verschiedener Authentifizierungs-

    methoden im Protokollablauf keine vorherige

    Aushandlung nötig

    – Einbindung zusätzlicher Methoden über Backend-Server

    (Passthrough)

  • Mobilkommunikationsnetze

    Vorlesung

    13

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X – EAP

    • Protokollablauf

    Peer/Supplicant Authenticator

    Request

    Response

    Request

    Response

    EAP Success/Failure

    ggf. abhängig von Methode weitere Schritte

  • Mobilkommunikationsnetze

    Vorlesung

    14

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X – EAP-MD5

    • Challenge Handshake Authentication Protocol mit MD5-

    Hash

    Peer/Supplicant Authenticator

    EAP-MD5-Challenge(N)

    Response(User, MD5(…))

    EAP Success/Failure

    Zufallszahl N

    MD5(id, secret, challenge)

    MD5(id, secret, challenge) ==

    Response?

  • Mobilkommunikationsnetze

    Vorlesung

    15

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X – EAP-TLS

    • EAP Transport Layer Security

    – Authentifizierung mit X.509-Zertifikaten auf beiden Seiten

    Peer/Supplicant Authenticator

    EAP-TLS-Start

    EAP Success

    Authentication Server

    EAP-TLS client_hello

    EAP-TLS server_hello, certificate, server_key_exchange, certificate request

    EAP-TLS certificate, client_key_exchange, certificate_verify, change_cipher_spec

    EAP-TLS change_cipher_spec

    EAP-TLS Response

    TLS Handshake

    Verifikation Server-

    Zertifikat Verifikation Client-

    Zertifikat

  • Mobilkommunikationsnetze

    Vorlesung

    16

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X - EAP-TTLS

    • EAP Tunneled TLS Benutzung von anderen EAP-

    Methoden via TLS-Tunnel

    • Phase 1: TLS-Handshake zum Aufbau eines Tunnels

    zwischen Supplicant & Server

    • Phase 2: Nutzung weiterer Authentifizierungsmethoden

    via Tunnel (bspw. Password Authentication Protocol,

    PAP)

    geschützt durch verschlüsselten Tunnel

    • Typisch: Tunnel nur mit Server-Authentifizierung, Client

    anonym, Client-Authentifizierung in Phase 2 (Beispiel:

    eduroam)

  • Mobilkommunikationsnetze

    Vorlesung

    17

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X - Schlüsselableitung

    • Authentifizierungsvorgang liefert Pairwise Master Key

    (PMK)

    • 4-Wege-Handshake zur Ableitung von Pairwise

    Transient Key (Schutz von Unicastverkehr) und Group

    Temporal Key (Verschlüsselung von Broadcastverkehr)

    • Ableitung PTK aus Nonce von STA und AP, MAC-

    Adressen von STA und AP und Pairwise Master Key

    durch Password-Based Key Derivation Function 2

    (PBKDF2) 64 Byte PTK

    • Aufteilung PTK in verschiedene Teilschlüssel für

    Anwendungen wichtig: Temporal Key für

    Verschlüsselung Unicast-Traffic (128 Bit)

  • Mobilkommunikationsnetze

    Vorlesung

    18

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    802.1X - Schlüsselableitung

    STA AP

    AP-Nonce

    STA-Nonce

    GTK

    Ableitung PTK aus AP- & STA-Nonce

    Ableitung PTK aus AP- & STA-Nonce

    ACK

  • Mobilkommunikationsnetze

    Vorlesung

    19

    Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

    Fachgebiet Integrierte Kommunikationssysteme

    www.tu-ilmenau.de/iks

    Kontakt

    Besucheradresse:

    Technische Universität Ilmenau Helmholtzplatz 5 Zusebau, Raum 1034 D-98693 Ilmenau

    fon: +49 (0)3677 69 4125 fax: +49 (0)3677 69 1226 e-mail: [email protected]

    www.tu-ilmenau.de/iks

    Fachgebiet Integrierte Kommunikationssysteme Technische Universität Ilmenau

    Dipl.-Inf. Markus Brückner

    http://www.tu-ilmenau.de/ics