WLAN: Beveiliging van draadloze netwerken

Home > Informatica > Netwerken > WLAN
style: 1 2

Inleiding

Wireless netwerken zijn een interesante manier van communicatie, maar het is veel moeilijker om onbevoegde personen buiten te houden. We bekijken de verschillende beveiligings mogelijkheden.
De Huidige Wireless netwerken zijn gebaseerd op de IEEE 802.11 standaard.

Standaarden

De 802.11 (Wi-Fi) standaard is onder verdeeld in:

  • 802.11a
    werkt in de 5GHz band
    haalt snelheden tot 54Mbps
    nadeel: veel signaalverlies bij transport door muren
  • 802.11b
    werkt in de 2.4GHz band
    haalt snelheden tot 11Mbps of tot 22Mbps
    nadeel: slechts drie niet-overlappende kanalen en interferentie van draadloze telefoons en microgolfovens.
  • 802.11g
    werkt in de 2.4GHz band
    haalt snelheden tot 54Mbps of 100Mbps
    nadeel: slechts drie niet-overlappende kanalen en interferentie van draadloze telefoons en microgolfovens.
    voordeel: kan met zowel 802.11b als 802.11a communiceren
  • 802.11i
    Bijkomende standaard met het oog op betere beveiliging. 802.11i definieert nieuwe encryptie protocollen zoals TKIP en AES.

Beveiliging

Om een veilignetwerk te krijgen willen we 3 dingen:

  • Exclusiviteit (vertrouwelijkheid)
  • Integriteit (betrouwbaarheid)
  • Continuïteit (beschikbaarheid)

Er zijn verschillende ongegronde redenen waarom mensen denken geen beveiliging nodig te hebben:

  • Het gebeurt ons niet
  • Bij ons zit de voordeur goed op slot (en de achterdeur dan?)
  • Het kost geld
  • Geen tijd
  • Te moeilijk
  • Er valt hier niets te halen
  • Wij geloven niet in Hacker verhalen
  • Ik weet niet hoe de baas te overtuigen

Het feit dat het over wireless netwerken gaat maakt dat het signaal over een grotere oppervlakte verspreid, het netwerk rijkt dus ook tot buiten de kantoormuren. Daarom is het dan ook niet makelijk om te controleren wie er allemaal connecteerd met het netwerk.
Het geschatte bereik en snelheid van 802.11b:

Bandbreedte 11Mb/s 5,5Mb/s 2Mb/s 1Mb/s
Open omgeving 160 meter 270 meter 400 meter 550 meter
Half-open omgeving 50 meter 70 meter 90 meter 115 meter
Gesloten omgeving 25 meter 35 meter 40 meter 50 meter

Beveiligingsmogelijkheden

Er zijn verschillende mogelijkheden die onderverdeeld kunnen worden in 2 groepen:

  • Het moeilijk maken om het netwerk op te sporen
    • Een niets zeggend SSID kiezen
    • Wijzigen standaardkanaal
    • Positionering en bereik accesspoint
    • Ander subnet
  • Beveiliging van het netwerk
    • Authentication type
    • MAC address filtering
    • VPN
    • IPSec
    • WEP
    • WEP plus
    • Broadcast key rotation
    • WPA

Het is belangrijk dat we ook kijken naar het type netwerk, er zijn 2 types.

  • Het eerste type is het 'ad-hoc' type waarbij de clients zonder tussen komst van andere apparatuur een connectie met elkaar maken. Deze vorm wordt ook wel peer-to-peer of IBSS genoemd en is relatief goedkoop.
  • Het tweede type is het 'infrastructure' type waarbij alle clients via een AP. Deze vorm wordt ook wel BSS genoemd.

SSID

De unieke SSID code is bedoeld als identificatie voor het draadloze netwerk. Dit kan gezien worden als een soort van netwerknaam die per accesspoint verschillend is.
Een SSID geeft in principe geen directe beveiliging voor het netwerk, maar een SSID verschillend van het standaard SSID maakt het wel moeilijker voor een hacker om het netwerk te vinden.
Enkele default SSIDs:

  • "tsunami" - Cisco
  • "101" - 3Com
  • "RoamAbout Default Network Name" - Lucent/Cabletron
  • "Default SSID"
  • "Compaq" - Compaq
  • "WLAN" - Addtron
  • "intel" - Intel
  • "linksys" - Linksys
  • "Wireless"

Het AP zendt elke paar seconden 'Beacon Freames' ('Broadcast Probes') uit, waarin het SSID staat. Dit vergemakkelijkt de toegang voor geautoriseerde gebruikers, maar maakt het natuurlijk ook makkelijker voor niet geautoriseerde gebruikers om het netwerk toch te vinden.
Men kan er dus beter voor kiezen deze 'Beacon Frames' niet uit te zenden.
Het afzetten van deze 'Beacon Frames' maakt het moeilijker, maar niet onmogelijk om het SSID te bemachtigen. Aangezien het SSID ongecodeerd verzonden wordt als er iemand zich aanmeld op het netwerk, hoeft men maar met een sniffer te wachten tot iemand zich op het AP aanmeld.

Wijzigen standaardkanaal

In de 2,4GHz band zitten meerdere kanalen. In het totaal 15, maar in Europa kunnen er slechts 13 gebruikt worden. Bovendien hebben sommige frequenties overlap, waardoor ze niet simultaan gebruikt kunnnen worden.
Door het wijzigen van eht standaard kanaal, ingesteld door de fabrikant van het AP, kan het voor hackers iets moeilijer gemaakt worden om het netwerk op te sporen. Ook dit punt biedt egeen echte bescherming, maar dient alleen maar voor het bemoeilijken van het opsporen van een netwerk.

Positionering en bereik accesspoint

Een AP heeft met de huidgige techniek, afhankelijk van de omgeving, een signaal van ongeveer 100 meter. Nodeloze signaaltransmissie dient zo laag mogelijk te zijn om mensen buiten de fysieke muren van de onderneming geen gelegenheid te geven het netwerk te vinden. Hierop kan men dus proberen de positie van het AP in de ruimte aan te passen.

Ander subnet

De belangrijkste reden om een ander subnet te keizen voor het draadloze netwerk is dat er op die manier een eenvoudiger en duidelijker restricties geplaatst kunnen worden, en dat logs makkelijker te analyseren zijn. Indien men boveniden het begruik van DHCP neit toestaat, kan dit de aanval van een ongeautoriseer gebruiker vertragen.

Authentication type

Authenticatie kan gebeuren op twee manieren.

  • De eerste is 'open authentication'. Bij deze manier mag ieder apparaat beginnen met een converstatie tegen een accesspoint. Deze biedt dus geen verdere beveiliging.
  • De tweede is 'shared key conversation'. Dit is een beveiligingstechniek die op WEP is gebaseerd. Dit wil zeggen dat zowel het accesspoint als de client dezelfde key hebben.

    Werking: Een client meldt zich aan, hierop stuurt het AP een challenge string. De client encrypt deze string met de symmetrische WEP-sleutel, en stuurt het resultaat terug. Indien hetresultaat goed is, is de gebruiker geautoriseerd, en verloopt de communicatie tussen client en AP met dezelfde WEP-sleutel.

Vreemd genoeg is het voor de beveiliging van een draadloos netwerk beter om te kiezen voor de open authenticatie. De symmetrische WEP-sleutel die namelijk tijdens de autorisatie-fase wordt gebruikt, gebruikt met in de rest van de communicatie ook. Tijdens de atorisatie-fase wordt de challenge string als plain tekst verstuurd naar de client, en wrodt encrypted weer terug gestuurd. Als op dat moment iemand met een sniffer actief is, heeft hij zowel de plain text als de gecodeerde tekst, en kan hij aan de hand van het RC4 algoritme dat WEP gebruikt de sleutel ontcijferen. De rest van de communicatie is dan ook real-time te ontcijferen. Bij open authenticatie, kan met de WEP-sleutel niet op deze manier ontcijferen.

MAC address filtering

Elke netwerkkaart heeft zijn eigen unieke MAC adres. Dit is een 12-cijferig hexadecimaal getal. Voor het beveiligen van een draadloos netwerk is het in theorie mogelijk een database te maken van alle MAC-adressen die toegestaan zijn op het netwerk. Er zijn echter verschillende nadelen.

  1. Het bijhouden van de database kost veel tijd. Bij een relatief klein netwerk is dit nog wel te doen, maar als het over grotere netwerken gaat word dit al snel onwerkbaar. De database kan op twee punten opgeslagen worden.
    De eerste plaats is op alle AP's afzonderlijk. De tweede plaats is op een centrale server (dhcp/firewall).
  2. MAC adres filtering is geen absoluut veilige methode. Iemand die een sniffer gebruikt om het dataverkeer van een draadloos netwerk af te luisteren, kan eenvoudig een MAC adres opsporen, en dit MAC adres nabootsen. Dit kan zelfs wanneer een MAC adres versleuteld is.

VPN

Een van de beste beveilignsmethoden op dit moment is VPN Bedrijven gebruiken bij deze techniek een firewall, die alleen verbindingen toestaat via een versleuteld veilig kanaal. Indien een ongeautoriseerde client zich aanmeldt, kan deze niet door de firewall, die zich tussen het draadloos en vaste netwerk bevindt, heenkomen. Een voordeel van deze techniek is dat hij vaak al toegepast wordt binnen bedrijven bij het vaste netwerk. Hierdoor hoeven er geen grote uitgaven gedaan worden.

Er zijn echter twee nadelen te noemen bij de toepassing van deze techniek.

  1. Ten eerste kan de ongeautoriseerde client nog wel met draadloze client nog wel met draadloze clients aan de ene kant van de firewall communiceren. Een oplossing hiervoor is om een VPN-client te gebruiken die het alleen maar toestaat dat de client contact heeft met het AP.
  2. Een tweede gevaar is dat er 2 of meer ongeautoriseerde clients zijn, die geen VPN-client gebruiken. Het grootste probleem zit hem niet in de beveiliging, maar in de snelheid van het netwerk. Als de twee ongeautoriseerde clients met elkaar communiceren via het AP, dan zal de algehele performance van het draadloze netwerk drastisch verminderen. De clients delen namelijk de totale bandbreedte.

IPSec

IPSec is ontworpen om vertrouwelijke gegevens over niet-vertrouwde netwerken te versturen. Vertrouwelijke TCP/IP pakketjes worden hierbij versleuteld om opgenomen te worden in nieuwe TCP/IP pakketjes. Bij de versleuteling wordt gebruik gemaakt van asymmetrische encryptie.

De client bezit de public key van de gateway, en de gateway bezit alle public keys van de geautoriseerde clients. Hiermee encrypten ze de boodschappen die ze elkaar willen doorgeven. Ieder decrypt deze pakketjes dan weer met zijn eigen private key. Zowel de gateway als de client moeten dus IPSec gebruiken. De rest van het netwerk niet noodzakelijkerwijs.
Bovendien is het mogelijk om op basis van IPSec certificaten te gebruiken, die verzekeren dat de pakketjes echt van de gateway afkomstig zijn, zodat de client geen pakketjes doorgestuurd krijgt, die ongeoorloofd naar binnen komen.

WEP

WEP is ontwikkeld door IEEE, is geen open source, en wordt standaard gebruikt. Het maakt gebruik van een symmetrische sleutel architectuur, en heeft als doel bij draadloze netwerken evenveel privacy te bieden als een 'wired network'.
Indien WEP aanstaat, wordt een 40bits WEP-sleutel plus een random 24bits getal (de zogehete Initialization Vector, IV) gebruikt om een datapacket te versleutelen aan de hand van RC4, en om dit vervolgens over een radiogolf te versturen.

Er zijn echter 2 verschillende veiligeheidslekken aangetoond.

  1. Het eerste probleem zit hem in de IV. De IV is een random getal van 24bits. Dit wil zeggen dat er 16.777.216 mogelijke waarden zijn. Als deze waarden allemaal gebruikt zijn, gaat het WEP protocol dezelfde waarden opnieuw gebruiken. Het grootste bezwaar is echter dat er dus ook maar 17 miljoen pakketjes verstuurd hoeven te worden om dezelfde IV te hebben. Deze 17 miljoen pakketjes kan men in een paar uur van druk dataverkeer eenvoudig versturen. Een sniffer kan dus bijhouden welke datapakketjes er met welk IV weg zijn gegaan, en indien er maar genoeg data binnenkomt, kan hij de WEP-sleutel vrij eenvoudig uitrekenen.
  2. Het tweede probleem ontstaat bij "zwakke" IV's. Sommige IV's zijn dermate zwak wanneer met de RC4 encryptie gebruikt, dat men eenvoudig de WEP-sleutel kan uitrekenen. Het is dan gewoon wachten voor een sniffer totdat één van deze zwakke IV's langskomt.

WEP plus

WEP-plus, een variant van WEP, gebruikt een 104bits sleutel, en een 24bits IV. Met de vergroting van de WEP-sleutel van 40 naar 104 bits dacht Lucent de beveiliging te kunnen vergorten. Echter, zoals zojeuist genoemd, is niet de WEP-sleutel het grootste probleem, maar de IV. Deze verctor is nog steeds van een 24bits omvang, en dus is de veiligheid niet verbeterd.

Broadcast key rotation

Ook deze techniek is een variant op de al bestaande WEP techniek. Deze techniek biedt echter wel meer veiligheid. In de 802.11b standaard staan namelijk twee WEP-keys genoemd. De een wordt gebruikt om de datastromen te beveiligen, en de ander wordt gebruikt om bijvoorbeeld DHCP en ARP requests te versleutelen. Normaal gesproken zijn dit dezelfde sleutels, mamar Cisco introduceerde, na het bekend worden van de kwetsbaarheid van WEP, het idee om de tweede dynamisch te maken. Deze tweede key zou om een te specificeren tijd kunnen veranderen. Deze tijd kan men ingeven op het AP, en iedere keer dat de tijd om is, stuurt het AP eeen nieuwe WEP-sleutel, terwijl hij het versleuteld met de oude WEP-sleutel. Op deze manier kunnen aanvallers niet genoeg datapakketjes onderscheppen, om de WEP-sleutel te kraken. Deze techniek dient meegenomen te worden in het algehele beveiligingsplan.

WPA

WPA is een zeer sterke verbetering van de draadlooze WEP beveiliging en werkt op 2 niveaus

  • Wi-Fi Protected Access for the Enterprise
    WPA wordt gebruikt in samenwerking met een authenticatie server zoals RADIUS. Hierdoor is er een gecentralizeerd toegangs en controle beheerssysteem. WPA doet dit dmv EAP.
  • Wi-Fi Protected Access for Home/SOHO
    Hier wordt geen gebruik gemaakt van een authenticatie server, maar van PSK. De gebruiker geeft een paswoord (master key) in op het AP en op de pc. Vanaf hier doet WPA de rest en start automatisch TKIP om de verdere verbinding te encrypteren.

WPA2

WPA2 maakt zoals WPA ook gebruik van EAP, maar gebruikt AES ipv TKIP als encryptie.

Beveligingslekken

Beveiliging van een draadloosnetwerk is niet onmogelijk, het probleem is dat standaard alles onmiddelijk zonder te moeten configureren direct bruikbaar is. Er wordt niet of nauwelijks stilgestaan bij beveiliging. Deze gebruiksvriendelijkheid zorgt ervoor dat het helemaal geen veilig configuratie is.

Hackers en andere beveiligingsspecialisten brengen al sinds het beginstadium van publieke acceptatie van draadloos netwerken deze problematiek onder de aandacht van de massa. Om de enrst van de situatie kracht bij te zetten wordt onder andere wereldwijd de beveiliging van draadloze netwerken in kaart gebracht aan de hand van het zogenaamde wardriven.

Nog steeds blijkt uit diverse onderzoeken dat vele eigenaars van draadloze netwerken niet de moeite nemen om de nodige standaard stappen te ondernemen om hun netwerk van een basis beveliging te voorzien.

WEP

De standaardmethode voor het vercijferen van data in WIFI-netwerken, WEP, wordt door zowel beveiligingsspecialisten als hackers gezien als een lachertje. Er zijn een aantal zwaktes te vinden in WEP, waardoor er makkelijk een aanval op dit protocol kan worden uitgevoerd. Er zijn verschillende aanvalstypes:

  • Passieve aanvallen om dataverkeer te decrypten gebaseerd op statistische analyse
  • Actieve aanvallen door het injecteren van ieuw verkeer vanuiut niet geauhoriserde mobiele stations gebaseerd op 'know-plaintext'
  • Actieve aanvallen om het verkeer te decrypten gebaseerd op het misleiden van het AP
  • Woordenboek-opbouw aanval, dat na een dag verkeersanalyse real-time decryptie toestaat van alle verkeersdata

Bovenstaande aanvalmethodes zijn van toepasing op zowel de 40-bit als de 128-bit versies van WEP en alle netwerken die de 802.11b standaard gebruiken.

Het blootleggen van open netwerken door middel van wardriving zit vrij eenvoudig in elkaar. Men rijdt door een gebied heen met een notebook met WIFI, een extra antenne, en een GPS-ontvanger voor het bepalen van de positie en de benodigde software en brengt het bezochte gebied in kaart.

Met behulp van de juiste software kan bij het verkrijgen van genoeg data de WEP-sleutel binnen korte tijd worden achterhaald. Zo kan het programma AirSnort na het luisteren naar tussen de 100MB en 1GB aandata binnen enkele seconden de WEP-sleutel bepalen.
Om WEP te verbeteren heeft RSA 'Fast Packet Keying' ontwikkeld. Deze methode geeft elk datapakket zijn eigen sleutel. Dit zorgt ervoor dat de onderschepte gegevens een stuk moelijker te decoderen zijn dan gegevens verstuurd via de oude methode.

Enkele tips om je draadloos netwerk veiliger te maken

  1. Gebruik WEP. WEP is gebleken niet veilig te zijn, maar het is een eerste drempel om ongewenste bezoekers buiten te houden.
  2. Verander het default SSID dat eveneens verschilt van je bedrijfsnaam of een andere voordehand liggende of kenmerkende naam. Kies een SSID naam zoals je een paswoord zou kiezen.
  3. Schakel "broadcasd SSID" uit. Dit staat standaard aan, het is makkelijk als het aanstaat, maar iedereen kent onmiddelijk je SSID
  4. Verander het default paswoord op je access point of wireless router
  5. Plaats het access point indien mogelijk in het midden van het bedrijf/woning ipv vb aan de voorgevel.
  6. Kijk regelmatig met een tool zoals NetStumbler of er toevallig op misterieuze wijze geen access points zijn bijgekomen in je netwerk.
  7. Gebruik indien mogelijk MAC-adres filtering
  8. Gebruik statische IP adressen ipv DHCP, zo heeft de hacker er het raden naar welke iprange je gebruikt. Kies een iprange verschillend van standaard 192.168.1.0 of 192.168.0.0 ranges
  9. Plaats je draadloos netwerk in een DMZ en gebruik VPN tunneling om je draadloos netwerk met je vast netwerk te verbinden.

Extra links:


Valid XHTML 1.0!