Uma Anlise dos Mecanismos de Segurana de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.

11w
ANDR GUEDES LINHARES PAULO ANDR DA S. GONALVES

Universidade Federal de Pernambuco (UFPE) - Centro de Informtica (CIn) Av. Professor Luis Freire s/n Cidade Universitria - Recife PE Brasil {agl, pasg}@cin.ufpe.br

RESUMO Este artigo apresenta uma anlise dos mecanismos de segurana de redes IEEE 802.11. Os protocolos WEP, WPA e WPA2 so analisados sob os aspectos bsicos de segurana: autenticao, integridade e confidncia. Para cada protocolo h uma descrio de suas vulnerabilidades conhecidas. Finalmente, feita uma anlise do novo padro de segurana IEEE 802.11w que se encontra em fase de desenvolvimento. A principal contribuio deste artigo reside na identificao de vulnerabilidades associadas a este novo padro.

ABSTRACT In this paper we analyze security mechanisms for wireless LANs IEEE 802.11. We analyze WEP, WPA and WPA2 mechanisms under the following basic security aspects: authentication, integrity and confidentiality. We describe all known vulnerabilities related to each security mechanism presented. Finally, we analyze the new IEEE 802.11w standard, which is currently under development. Our finds reveals that IEEE 802.11w has some weakness.

PALAVRAS-CHAVE Segurana, IEEE 802.11

1. INTRODUO
A segurana de redes freqentemente tratada pelas camadas mais altas da pilha de protocolos e na maioria das vezes vista apenas como um problema da camada aplicao. Com o advento das redes locais sem fio (WLANs Wireless Local Area Networks) este paradigma de segurana sozinho se mostra inadequado. Essas redes se baseiam na comunicao via ondas de rdio e, portanto, qualquer um possuindo um receptor de rdio pode interceptar a comunicao. Alm disso, qualquer um possuindo um transmissor de rdio pode injetar dados na rede. Assim, as WLANs necessitam de componentes de segurana presentes na camada enlace para proteger o acesso rede e manter a confidncia dos dados que transitam na mesma.

Este trabalho foi realizado com recursos da FACEPE, CAPES, CNPq, UFPE e FINEP.

Nos ltimos anos, houve um grande crescimento na utilizao de WLANs, principalmente, as baseadas nos padres da famlia IEEE 802.11 [1]. No padro IEEE 802.11 [2] aprovado em 1999, foi introduzido um protocolo de segurana denominado WEP (Wired Equivalent Privacy). O intuito desse protocolo era oferecer s WLANs IEEE 802.11 um nvel de privacidade equivalente ao das redes locais (LANs Local Area Networks) Ethernet. Uma LAN geralmente est protegida por mecanismos de segurana fsicos (e.g. controle de acesso salas, prdios, etc) que so eficazes em uma rea fsica controlada. Contudo, essa abordagem no efetiva para as WLANs, pois as ondas de rdio usadas para a comunicao no ficam necessariamente confinadas pelas paredes da rea onde se encontram os dispositivos que compem a rede. Usando criptografia de dados, o WEP consegue uma proteo similar oferecida por mecanismos de segurana fsicos. A criptografia de dados protege as informaes que iro transitar pelo canal de comunicao entre o ponto de acesso e os clientes (e vice-versa). Em conjunto com esta medida, outros mecanismos de segurana tpicos de LANs podem ser utilizados. Exemplos incluem a proteo atravs de senhas, filtragem de endereos MAC (Medium Access Control) e o uso de redes privadas virtuais (VPNs Virtual Private Networks).

Diversas pesquisas [3, 4, 5, 7] demonstraram problemas significativos de segurana no padro IEEE 802.11. Em 2003, o WEP foi ento substitudo pelo WPA (Wi-Fi Protected Access) que por sua vez, devido a algumas falhas de implementao, foi substitudo, em 2004, pelo padro IEEE 802.11i ou WPA2 [6]. Atualmente, um grupo de pesquisa do IEEE1 est trabalhando em um novo padro de segurana denominado IEEE 802.11w. O intuito estender o padro IEEE 802.11i, adicionando proteo aos quadros de gerenciamento que desde o surgimento do padro IEEE 802.11 at ento ficaram desprotegidos e passveis de serem utilizados em ataques de negao de servio (DoS- Deny of Service) . A figura abaixo ilustra a evoluo em ordem cronolgica dos mecanismos de segurana que protegem redes WLAN da famlia 802.11

Figura 1 Evoluo dos Mecanismos de Segurana 802.11

IEEE 802.11 Task Group w - http://grouper.ieee.org/groups/802/11/Reports/tgw_update.htm

O desenvolvimento de bons mecanismos de segurana para redes , geralmente, baseado em trs requisitos mnimos: confidncia, autenticao e integridade. A confidncia est inerentemente ligada criptografia dos dados cujo intuito permitir que somente pessoas previamente autorizadas tenham acesso s informaes, decodificando-as, ou seja, apenas pessoas autorizadas conseguem decodificar a mensagem e entender a informao. A autenticao lida com a identificao de pessoas e dispositivos. Somente pessoas e dispositivos autorizados podem ter acesso rede e aos servios da mesma. A integridade garante que os dados recebidos pelo receptor sejam os mesmos que foram transmitidos pelo emissor, ou seja, garante que alteraes nos pacotes que transitam na rede (e.g., por erros de transmisso inerentes ao meio sem fio ou pela manipulao de dados) sejam facilmente detectadas.

Este artigo apresenta uma anlise dos mecanismos de segurana WEP, WPA, WPA2 e IEEE 802.11w propostos para WLANs baseadas nos padres da famlia IEEE 802.11. As anlises do WEP, WPA e WPA2 so feitas com relao autenticao de usurios e dispositivos, integridade e confidncia de dados. As vulnerabilidades conhecidas de cada um destes mecanismos de segurana tambm so apresentadas. Por fim, realizada a anlise do IEEE 802.11w. Este artigo contribui identificando pontos falhos deste mecanismo antes mesmo do trmino de seu desenvolvimento.

Este artigo est organizado da seguinte forma: as Sees 2, 3 e 4 apresentam respectivamente os mecanismos de segurana WEP, WPA e WPA2 , cada qual com as anlises e vulnerabilidades associadas. A Seo 5 faz uma anlise do padro IEEE 802.11w e, finalmente, a Seo 6 conclui o trabalho.

2. Wired Equivalent Privacy (WEP)

WEP foi o protocolo de segurana introduzido no padro IEEE 802.11 em 1999. Ele prov dois mtodos de autenticao de dispositivos, utiliza CRC-32 (Cyclic Redundancy Checks) para a verificao da integridade de dados e usa o algoritmo de criptografia RC4 (Rons Code #4) para prevenir a leitura de dados de usurio que transitaro na rede. O WEP pode ser utilizado entre o Ponto de Acesso (AP Access Point) e os clientes da rede (modo com infra-estrutura), assim como na comunicao direta entre clientes (modo ad-hoc). Como ilustrado na Figura 2, a criptografia WEP s aplicada ao trfego do canal de comunicao sem fio e, portanto, o trfego roteado para fora da rede sem fio no possui criptografia WEP.

Figura 2 - WEP

2.1 Autenticao
Um dispositivo deve ser autenticado pelo ponto de acesso antes de se associar a ele e poder enviar dados na rede. O padro IEEE 802.11 define dois tipos de autenticao WEP: Sistema Aberto (Open System) e Chave Compartilhada (Shared Key).

O Sistema Aberto permite que qualquer dispositivo se associe rede. Para isso necessrio informar o SSID (Service Set Identifier) da rede (i.e. nome da rede). O SSID pode ser adquirido atravs de pacotes do tipo BEACON. Estes pacotes no possuem criptografia e so enviados periodicamente em broadcast pelo Ponto de Acesso. Alm do SSID, estes pacotes contm outras informaes sobre a rede como por exemplo, o canal de transmisso, a taxa de transmisso, etc. A figura 3 ilustra o processo de autenticao WEP sistema aberto. O dispositivo envia um pedido de autenticao ao Ponto de Acesso que por sua vez envia uma mensagem informando que o dispositivo foi autenticado. Em seguida, o cliente se associa ao ponto de acesso, conectando-se rede.

Figura 3 Autenticao WEP Sistema Aberto (Open System)

A autenticao por Chave Compartilhada requer que o cliente e o ponto de acesso possuam uma mesma chave. O processo de autenticao por chave compartilhada apresentado na Figura 4. O cliente envia um pedido de autenticao ao ponto de acesso que em seguida envia ao cliente um texto-plano (sem criptografia). Este texto chamado de texto-desafio (challenge text). O cliente usa sua chave prconfigurada para criptografar o texto-desafio, retornando o resultado ao ponto de acesso. O AP o descriptografa com sua prpria chave e compara o texto obtido com o texto-desafio originalmente enviado. Se o texto for o mesmo, o cliente autenticado, caso contrrio o cliente no consegue se associar rede.

Figura 4 Autenticao WEP Chave Compartilhada (Shared Key)

Ambos os tipos de autenticao WEP podem ser combinados com a filtragem de endereos MAC (MAC Filtering). Neste mtodo, o ponto de acesso possui uma lista contendo o endereo MAC de dispositivos que podem ser autenticados. Se o endereo MAC no estiver na lista, no ser possvel o acesso rede. Este mtodo no faz parte da especificao IEEE 802.11, mas disponibilizado por vrios fabricantes de equipamentos Wi-Fi (Wireless Fidelity)2 para tentar aumentar o controle de acesso rede.

2.2 INTEGRIDADE
Para a verificao da integridade de mensagens recebidas, o WEP adiciona mensagem a ser enviada um ICV (Integrity Check Value). O ICV nada mais que um tpico CRC adicionado mensagem original antes da criptografia ser realizada. Ao receber uma mensagem, um cliente (ou AP) a decodifica e calcula o CRC-32 da mensagem, conferindo-o com o CRC-32 informado no campo ICV. Se forem diferentes, a mensagem descartada. Este processo ilustrado na Figura 5.

Figura 5 Integridade WEP

2.3 Confidncia
Para tornar as mensagens confidenciais, o WEP utiliza o algoritmo criptogrfico RC4. Apenas a mensagem e o ICV so criptografados. O cabealho 802.11 passado em claro. O WEP utiliza um vetor de inicializao (IV Initialization Vector) sendo este uma chave de 24 bits, a princpio, dinmica. Conforme a norma IEEE 802.11, a chave WEP padronizada de 64 bits a ser utilizada pelo RC4 formada pelo IV de 24 bits concatenado chave esttica de 40 bits (aquela compartilhada pelos dispositivos).

O RC4 dividido em dois algoritmos: Key-Scheduling Algorithm (KSA) e Pseudo-Random Generation Algorithm (PRGA). O KSA bem simples, ele inicializa um array de 256 posies com os valores de 0 a

Termo usado para referir-se genericamente redes sem fio que utilizam qualquer um dos padres 802.11.

255. Logo aps, executa uma srie de swaps, permutando o array. A permutao feita de acordo com a chave, chaves diferentes permutam o array de formas dirferentes. O PRGA ainda executa um swap e gera um byte como sada que ser utilizado na operao XOR. Para a criptografia de cada mensagem com seu respectivo ICV um novo IV deve ser gerado3 incrementando-o de uma unidade para evitar a repetio de chaves. Uma vez que o RC4 um algoritmo de criptografia simtrico, a mesma chave deve ser utilizada para o processo de decodificao. Por este motivo, o IV enviado em claro concatenado mensagem criptografada conforme a ilustrao da Figura 6. Esse processo de criptografia tambm chamado de encapsulamento WEP.

Figura 6 Encapsulamento WEP

feito um XOR (OU Exclusivo) entre um byte do pacote e o byte gerado pelo RC4 (keystream). O resultado um outro byte correspondente cifra do byte do pacote. Esse ciclo repetido at o ltimo byte do pacote e para cada ciclo deste o RC4 gera um novo keystream.

2.4 Vulnerabilidades
Esto listadas abaixo as vulnerabilidades apresentadas pelo protocolo WEP.

Tamanho da Chave - originalmente quando o WEP foi lanado, a chave esttica WEP era de apenas 40 bits. Chaves com este tamanho podem ser quebradas por fora bruta4 usando-se mquinas atuais. Para solucionar este problema, fabricantes de produtos Wi-Fi lanaram o WEP2 com chave esttica de 104 e 232 bits, mantendo o IV de 24 bits. Com isto tornou-se praticamente impossvel quebrar, em tempo factvel, a chave por meio de fora bruta. Reuso de Chaves - os 24 bits do IV permitem pouco mais de 16,7 milhes (224) de vetores diferentes. Este nmero de possibilidades relativamente pequeno. Dependendo do volume de trfego da rede os IVs se repetiro de tempos em tempos e, portanto, as chaves usadas pelo RC4 tambm se repetiro. A

Na realidade, o protocolo WEP no especifica como o IV deve ser alterado. Essa questo foi deixada para os fabricantes de dispositivos. Alguns fabricantes iniciam o IV em 0 e o incrementam de uma unidade a cada mensagem criptografada, outros geram o IV de forma randmica para cada mensagem a ser enviada. 4 Ataques de fora bruta consistem em testar todas as combinaes de chaves possveis exaustivamente.

repetio de chaves fere a natureza do RC4 que assim no garante mais a confidncia dos dados [8]. Se o IVs forem escolhidos aleatoriamente, a freqncia de repeties pode aumentar significativamente dado o paradoxo do aniversrio. De acordo com o paradoxo, aps 4823 pacotes h uma probabilidade de 50% de ocorrer uma repetio de IV.

Gerenciamento de Chaves - o WEP no possui um protocolo para gerenciamento de chaves, portanto a chave utilizada pelos dispositivos no pode ser trocada dinamicamente. Isso dificulta a manuteno das redes, principalmente as de grande porte (e.g., as redes corporativas) uma vez que a troca da chave deve ser feita manualmente em cada mquina. Devido a isso, em geral, as chaves no so trocadas com freqncia adequada, contribuindo para a reduo da segurana. Visto que o WEP um mecanismo fortemente baseado no segredo de sua chave necessrio que haja a troca freqente da mesma.

IV passado em claro - o vetor de inicializao passado em claro uma vez que o mesmo necessrio para o processo de decodificao. Como o IV a parte inicial da chave, passa-se em claro uma parte da chave que codificou o pacote. Devido a esta falha, ataques poderosos, como o FMS5 [5], pde ser criado.

Protocolo de autenticao Ineficiente - no modo de autenticao por Chave Compartilhada o atacante pode atravs de uma simples escuta de trfego ter acesso a um pacote em claro (e.g. pacote texto-desafio) e a sua respectiva cifra (pacote codificado). Com estes dados possvel achar os keystreams e us-los para criar uma resposta vlida para qualquer texto-desafio. O atacante poder autenticar-se sem conhecer a chave WEP. O uso de MAC Filtering no garante nenhuma segurana ao processo de autenticao, pois existem ataques de MAC Spoofing (falsificao de endereo MAC) que facilmente podem se feitos. Um atacante pode rapidamente descobrir um endereo MAC vlido, atravs da escuta de trfego, e usar o endereo descoberto para burlar o MAC Filtering.

Negao de Servio (DoS Deny of Service) - possvel forjar pacotes do tipo De-Authetication (i.e. que invalidam o cliente da rede) e envi-los em broadcast ou diretamente para um cliente especfico usando o seu endereo MAC associado. Ferramentas de domnio pblico como o void116 e aircrack7 implementam este tipo de ataque. O efeito deste ataque praticamente instantneo.

O Algoritmo que Implementa o ICV no Apropriado o CRC-32 usado para computar o ICV pode detectar com alta probabilidade alteraes na mensagem, servindo verificao de integridade. Originalmente, o CRC-32 no foi projetado pensando-se em segurana, mas apenas na deteco de alteraes ocorridas devido rudos inerentes do canal de comunicao. Assim sendo, optou-se fazer o CRC como uma funo linear que no segura em termos criptogrficos. Essa propriedade pode ser explorada por um atacante para modificar o contedo de um pacote e facilmente corrigir o ICV fazendo o pacote parecer autntico. Para explorar essa falha, criou-se um ataque chamado Chopchop que consiste
5 6

Ataque desenvolvido por Fluhrer, Mantin, e Shamir, cujo nome foi dado pelas iniciais de seus criadores. Void11 - http://www.wirelessdefence.org/Contents/Void11Main.htm 7 Aircrack - http://www.aircrack-ng.org

em decodificar o pacote sem saber a chave, apenas modificando o ICV.

Problemas do RC4 - Em [5], demonstrado que o algoritmo KSA do RC4 apresenta uma fraqueza. A partir disso, foi desenvolvido um ataque estatstico que revela a chave WEP esttica. Este ataque ficou conhecido como FMS. KoreK8 otimizou este ataque, aumentando a probabilidade de acerto da chave com um menor nmero de IVs, diminuindo, assim, o tempo necessrio para a quebra da chave. AirSnort9, WEPCrack10 e Aircrack so exemplos de ferramentas de domnio pblico que implementam estes ataques. Em testes realizados em redes com pouco trfego, levou-se cerca de uma hora para quebrar a chave esttica.

Re-injeo de Pacotes Redes protegidas pelo WEP so passveis de ataques de re-injeo de trfego. Este tipo de ataque sozinho no afeta diretamente a segurana da rede. Porm pode ser usado para aumentar o trfego na rede e assim diminuir o tempo necessrio para que ataques como o FMS e o KoreK quebrem a chave WEP.

3. Wi-Fi Protected Access (WPA)

Tendo em vista o grande nmero de vulnerabilidades apresentadas pelo protocolo WEP, um grupo de trabalho do IEEE 802.11 iniciou pesquisas para o desenvolvimento de um novo padro de segurana denominado IEEE 802.11i. O intuito primordial era resolver todos os problemas de segurana encontrados no WEP. Enquanto o padro estava sendo desenvolvido, a Wi-Fi Alliance11, para responder s crticas geradas pelo meio corporativo em relao ao WEP, apresentou em 2003 um padro denominado Wi-Fi Protected Access (WPA) [9]. O WPA baseado no RC4 e em um subconjunto de especificaes apresentadas em uma verso preliminar (draft) do IEEE 802.11i.

O WPA introduz diversos mecanismos para resolver os problemas de segurana associados ao WEP:

Regras para o IV e IV estendido de 48 bits Como os 24 bits de IV utilizado pelo WEP permitiam pouco mais de 16 milhes de IV diferentes, facilitando repeties em um curto espao de tempo, o WPA introduz um IV estendido de 48 bits. Assim, mais de 280 trilhes (248) de IVs diferentes so possveis. Adicionalmente, o WPA introduz regras para a escolha e verificao de IVs para tornar ataques de reinjeo de pacotes ineficazes.

Novo Cdigo de Verificao de Mensagens O WPA usa um novo campo de 64 bits, o MIC (Message Integrity Code), para verificar se o contedo de um quadro de dados possui alteraes por erros de transmisso ou manipulao de dados. O MIC obtido atravs de um algoritmo conhecido como Michael.
Hacker bastante conhecido no frum do netstumbler (www. netstumbler.com) AirSnort - http://airsnort.shmoo.com 10 WEPCrack - http://wepcrack.sourceforge.net 11 Associao internacional sem fins lucrativos formada em 1999 para certificar produtos Wi-Fi baseados no padro IEEE 802.11. A certificao de produtos Wi-Fi teve incio em maro de 2000. Um dos principais objetivos assegurar a interoperabilidade entre todos os equipamentos certificados pela Wi-Fi Alliance.
9 8

Distribuio e Derivao de Chaves O WPA automaticamente distribui e deriva chaves que sero utilizadas para a criptografia e integridade dos dados. Isto resolve o problema do uso da chave compartilhada esttica do WEP.

Outras caractersticas do WPA so : Utiliza o conceito de chaves temporais, no qual h uma hierarquia de chaves. H uma chave principal, chamada de Pairwise Master Key (PMK), de onde se derivam outras chaves como a chave de criptografia de dados e a chave de integridade de dados; Trabalha em dois modos distintos de funcionamento. Um destinado a redes domsticas e pequenos escritrios, e outro destinado a redes de grandes instituies (redes corporativas). A principal diferena entre estes dois tipos est na forma de autenticao, pois em redes corporativas utilizado um servidor de autenticao centralizado (geralmente servidor RADIUS); No tem suporte a redes do tipo ad hoc de forma diferente ao WEP; Foi projetado para ser implementado atravs de uma atualizao de software (firmware) nos equipamentos existentes com o hardware utilizado pelo WEP.

3.1 Autenticao
Conforme dito anteriormente, h dois tipos de autenticao no protocolo WPA. Um direcionado para redes corporativas que utiliza um servidor de autenticao 802.1x/EAP, portanto uma infra-estrutura complementar, e um outro, mais simples, projetado para pequenas redes em escritrios e para redes domsticas (redes SOHO Small Office/Home Office). Estes dois tipos de autenticao so denominados WPA Corporativo e WPA Pessoal, respectivamente.

WPA Pessoal como um usurio comum no capaz de instalar e fazer a manuteno de um servidor de autenticao criou-se o WPA-PSK (WPA-Pre Shared Key) que uma passphrase12, previamente compartilhada entre o AP e os clientes. Neste caso, autenticao feita pelo AP. A chave configurada manualmente em cada equipamento pertencente rede e pode variar de 8 a 63 caracteres ASCII.

WPA Corporativo - o AP no responsvel por nenhuma autenticao. Tanto a autenticao do usurio quanto do dispositivo feita por um servidor de autenticao. utilizada uma infra-estrutura complementar formada por um servidor que usa o protocolo de autenticao 802.1x em conjunto com algum tipo de EAP (Extensible Authentication Protocol). O 802.1x um protocolo de comunicao utilizado entre o AP e o servidor de autenticao. Este protocolo j era largamente utilizado em redes cabeadas e se mostrou tambm adequado quando integrado s redes sem fio. Quando um cliente solicita uma autenticao, o servidor de autenticao verifica em sua base de dados se as credenciais apresentadas
12

basicamente uma sentena ou uma frase que serve como uma senha mais segura ao permitir o uso de um nmero maior de caracteres.

pelo solicitante so vlidas, em caso positivo o cliente autenticado e uma chave chamada Master Session Key (MSK) lhe enviada. Na maioria das vezes, utiliza-se como servidor de autenticao um servidor RADIUS, mas no obrigatrio. O processo de autenticao ilustrado na figura 7.

Figura 7 Autenticao 802.1x/EAP

O EAP responsvel por criar um canal lgico de comunicao seguro entre o cliente (supplicant) e o servidor de autenticao, por onde as credenciais iro trafegar. Fisicamente, o cliente se comunica com o AP atravs do protocolo EAPoL (Extensible Authentication Protocol over LAN) e o AP, por sua vez, se comunica com o servidor de autenticao atravs do protocolo 802.1x, conforme mostra a Figura 8.

Figura 8 - WPA corporativo

As credenciais podem ser representadas atravs do binmio usurio/senha, smart cards, certificados digitais, biometria, entre outras formas. Atualmente, os tipos de EAP mais utilizados so: EAP-MD5, EAP-TLS (EAP-Transport Layer Security), EAP-TTLS (EAP-Tunneled Transport Layer Security) e PEAP (Protected Extensible Authentication Protocol).

Aps a autenticao, inicia-se o processo de derivao da PMK onde as chaves sero estabelecidas, este processo chamado de 4-Way-Hadshake. Se a autenticao foi baseada no modo PSK, a chave PMK a

10

prpria PSK. Se no, a PMK derivada a partir da MSK que foi compartilhada durante o processo de autenticao 802.1x/EAP. A PMK nunca usada para encriptao ou integridade. Ela usada para gerar chaves temporrias (Pariwise Transient Key - PTK). A PTK um conjunto de chaves, entre elas a chave de criptografia de dados (Temporal Encryption Key TEK ou TK) e a chave de integridade de dados (Temporal MIC Key - TMK). Ao final do 4-Way-Hadshake garantido que tanto o cliente quanto o AP possuem a mesma PTK, estando prontos para a troca de dados.

3.2 Integridade
A integridade no WPA composta por dois valores. Alm do ICV, j utilizado pelo WEP, adicionado ao quadro uma mensagem de verificao de integridade denominada MIC (Message Integrity Check). O algoritmo que implementa o MIC denomina-se Michael.

O Michael uma funo hash no linear, diferentemente do CRC-32. O endereo de destino, de origem, a prioridade (definida atualmente como zero, mas reservada para objetivos futuros, e.g. 802.11e), os dados e uma chave de integridade so inseridos no Michael para produzir o MIC. A sada corresponde a 8 bytes que juntamente com o ICV formam a integridade do protocolo WPA. Portanto a integridade representada por um total de 12 bytes, 8 gerados pelo Michael e 4 pelo CRC-32. A Figura 9 ilustra o processo de integridade no WPA.

Figura 9 Integridade WPA

3.3 Confidncia
O TKIP (Temporal Key Integrity Protocol) soluciona boa parte das vulnerabilidades apresentadas pelo protocolo WEP. O TKIP baseado no conceito de chaves temporais, ou seja, a chave usada durante certo tempo e depois substituda dinamicamente.

No WPA o vetor de inicializao possui 48 bits o que torna praticamente impossvel haver reutilizao de vetores. Na estrutura do cabealho 802.11 o campo reservado para o IV s contm 24 bits, devido a isto criou-se outro campo chamado IV Extended, que no faz parte da estrutura do cabealho 802.11, para alocar o resto do IV. O IV tambm utilizado como um contador de quadros (TSC TKIP Sequence Counter). Quando uma nova chave de criptografia estabelecida, o TSC zerado. A cada quadro transmitido, ele incrementado. Desta forma, quadros com TSC fora de ordem so descartados, evitandose re-injees de pacotes.

O processo de codificao do WPA semelhante ao do WEP (cf. Seo 2.3). A principal diferena est na

11

chave que ir alimentar o RC4. Esta chave o resultado de um algoritmo de combinao de chave cuja entrada o vetor de inicializao, o endereo MAC do transmissor e a chave de criptografia de dados. Ao final, a chave gerada pelo algoritmo de combinao de chave e o IV so passados para o RC4 e o processo ocorre conforme visto no WEP (cf. Seo 2.3). A Figura 10 ilustra o funcionamento do WPA.

Figura 10 Mecanismo de funcionamento WPA

3.4 Vulnerabilidades
O WPA solucionou praticamente todas as vulnerabilidades apresentadas pelo protocolo WEP. Porm, falhas em sua implementao o tornaram vulnervel:

Fraqueza no algoritmo de combinao de chave - Tendo conhecimento de algumas chaves RC4 (menos de 10 chaves) geradas por IVs, cujos 32 bits mais significativos so os mesmos, um atacante pode achar a chave de criptografia de dados e a chave de integridade [10]. Esse ainda no um ataque prtico, pois possui complexidade de tempo O(2105), porm h uma reduo significativa se comparado com um ataque de fora bruta O(2128).

PSK susceptvel a ataques de dicionrio - Diferentemente do ataque de fora bruta, que tenta todas as possibilidades possveis exaustivamente, o ataque de dicionrio tenta derivaes de palavras pertencentes a um dicionrio previamente construdo. Este tipo de ataque, geralmente bem sucedido porque as pessoas tm o costume de utilizarem palavras fceis de lembrar e que normalmente pertencem a sua lngua nativa. Alm do dicionrio, informaes capturadas durante o 4-Way-Handshake so necessrias para a quebra da PSK. Um detalhe que no muito sabido que se a chave PSK for de mais de 20 caracteres este ataque no funciona em tempo factvel.

Negao de Servio - O MIC possui um mecanismo de proteo para evitar ataques de fora bruta, porm esse mecanismo acarreta um ataque de negao de servio (DoS). Quando dois erros de MIC so detectados em menos de um minuto o AP cancela a conexo por 60 segundos e altera a chave de integridade. Portanto, com uma simples injeo de pacotes mal formados possvel fazer um ataque de

12

negao de servio. Alm disso, o WPA continua sofrendo dos mesmos ataques de negao de servio que o WEP j sofria, visto que esses ataques so baseados em quadros de gerenciamento.

4. IEEE 802.11i (WPA2)

O padro IEEE 802.11i, homologado em junho de 2004, foi desenvolvido com o objetivo de prover mais segurana na comunicao, visto que o protocolo de segurana ento utilizado (WEP) apresentava diversas vulnerabilidades. O novo mtodo de criptografia utilizado exige um maior poder computacional do NIC (Network Interface Card) durante o processo de codificao/decodificao, impossibilitando assim, apenas uma atualizao de firmware. Parte dos mecanismos apresentados no WPA tambm utilizada no WPA2, j que o WPA baseado em um rascunho do WPA2. Os principais avanos do WPA2 em relao ao WPA so, basicamente, novos algoritmos de criptografia e de integridade.

4.1 Autenticao
O mecanismo de autenticao no WPA2 , basicamente, o mesmo do WPA, descrito na Seo 3.1. O maior avano na autenticao uma preocupao com o roaming. Quando um usurio se autentica, h uma srie de mensagens trocadas entre o AP e o cliente. Essa troca de mensagens introduz um atraso no processo de conexo. Quando um cliente desloca-se de um AP para outro, o atraso para estabelecer a associao pode causar uma interrupo notria da conexo, principalmente em trfego de voz e vdeo. Para minimizar este atraso de associao, o equipamento pode dar suporte a PMK Caching e Preauthentication. O PMK Caching consiste no AP guardar os resultados das autenticaes dos clientes. Se o cliente voltar a se associar com o AP, estas informaes guardadas so utilizadas para diminuir o nmero de mensagens trocadas na re-autenticao. J no Preauthentication, enquanto o cliente est conectado a um AP principal, ele faz associaes com outros APs cujo o sinal chega at ele. Desta forma, quando h uma mudana de AP no h perda de tempo com a autenticao.

O desenvolvimento desses mecanismos est associado ao contexto de Computao Ubqua [11, 12, 13, 14]. Esses mecanismos so de suma importncia para tecnologias emergentes como VoWi-Fi (VoIP over Wi-Fi) por exemplo.

4.2 Integridade
O protocolo CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol) o responsvel pela integridade e a confidncia do WPA2. O CCMP baseado no AES (Advanced Encryption Standard) que um Block Cipher13. O modo de operao do AES implementado pelo WPA2 e o CCM [15] cujas chaves e blocos so de 128 bits. O CBC-MAC (Cipher Block Chaining Message Authentication Code) responsvel pela integridade dos quadros, seu funcionamento mostrado na Figura 11.

13

Cifrador que opera com um grupo de bits com tamanho fixo. Em contraste com o Stream Cipher (e.g. RC4) que cifra bit a bit, o Block Cipher cifra um bloco de bits por vez.

13

Figura 11 - Integridade WPA2

A caixa Bloco Inicial representa os primeiros 128 bits do campo de dados. So passados para o CBCMAC o bloco e a chave de integridade, e como sada so gerados outros 128 bits, chamado de Resultado1. feito um XOR entre o Resultado1 e o prximo bloco. Ao resultado do XOR dado o nome XResultado1. O XResultado1 passado para o CBC-MAC e, assim, gerado um Resultado2. Este procedimento se repete at o ltimo bloco do campo de dados do pacote. No final do processo, dos 128 bits de sada apenas o 64 bits mais significativos vo para o MIC.

4.3 Confidncia
O CCMP tambm baseado no conceito de chaves temporais, como o TKIP no WPA. Portanto, no WPA2 h uma hierarquia de chaves, onde derivaes da PMK geram as chaves temporais de criptografia e integridade. O algoritmo responsvel pela criptografia do frame o AES Counter Mode (CTR). A chave de criptografia de dados simtrica e de tamanho 128 bits. O vetor de inicializao continua com 48 bits.

4.4 Vulnerabilidades
Poucas vulnerabilidades so conhecidas sobre o WPA2 atualmente. Conforme visto anteriormente, o WPA2 possui um bom mecanismo de segurana. Talvez, mais vulnerabilidades ainda no foram descobertas porque os dispositivos que suportam o WPA2 ainda no so largamente utilizados.

As vulnerabilidades conhecidas so:

Negao de Servio - Visto que todos os mecanismos de segurana existentes at agora no protegem os quadros de gerenciamento e de controle. Portanto, ainda possvel, por exemplo, forjar quadros de gerenciamento do tipo de-authentication. Alm disso, existem outros ataques como: RSN Information Element (RSN IE) Poisoning e 4-Way-Handshake Blocking [16].

14

PSK Pequeno - Na verdade esta no uma falha do protocolo, mas, sim, do usurio. PSK com menos de 20 caracteres so susceptvel a ataques de dicionrio.

5. IEEE 802.11w
O IEEE 802.11i possui melhorias significativas de segurana. Contudo, assim como no WEP e no WPA, toda a segurana aplicada somente aos quadros de dados (data frames) e nenhuma proteo dada aos quadros de gerenciamento (management frames) e de controle (control frames) do meio de comunicao sem fio. O Grupo de Trabalho do IEEE 802.11w foi aprovado em maro de 2005 com o objetivo inicial de melhorar a segurana das redes IEEE 802.11 atravs da proteo dos quadros de gerenciamento. Isso se deve a duas razes principais:

1.

Os ataques do tipo DoS em redes IEEE 802.11 exploram a falta de proteo nos quadros de gerenciamento. Esses ataques injetam na rede quadros de gerenciamento do tipo deauthentication forjando facilmente pedidos de desassociao da rede de clientes legtimos. Assim, a proteo dos quadros de gerenciamento impediria a realizao deste tipo de ataque;

2.

Os novos padres IEEE 802.11v, 802.11k e 802.11r estendem as funcionalidades dos quadros de gerenciamento 802.11 que podero incluir informaes sensveis como dados sobre recursos de rdio, identificadores baseados em localizao e dados para execuo de handoffs14 rpidos. Desta forma, torna-se evidente a necessidade de proteo dos quadros de gerenciamento.

Apesar das melhorias de segurana do novo padro, podemos enumerar as seguintes vulnerabilidades existentes:

1.

Antes de tornar o trfego de gerenciamento confidencial, o IEEE 802.11w assume que o cliente e o ponto de acesso j tenham trocado a chave dinmica. Isso impede, portanto, a proteo de qualquer quadro de gerenciamento antes do envio da chave o que, em conseqncia, expe o nome da rede (SSID) e outras informaes necessrias para o cliente se conectar rede;

2.

Embora a proteo dos quadros de gerenciamento possa facilitar a identificao de quadros forjados, tornando nula a eficincia de ataques DoS do tipo de-authentication, o 802.11w nunca poder reduzir ataques DoS do tipo RF-jamming15;

3.

Uma vez que o Grupo de Trabalho IEEE 802.11w no indicou sua inteno de prover segurana aos quadros de controle, a rede ainda estar exposta a outras formas de ataques. Sem a proteo de quadros de controle, possvel utilizar uma variedade de ataques DoS que exploram tcnicas de controle do acesso ao meio de comunicao;

4.

Embora esforos estejam sendo feitos com o intuito de permitir que a implantao do 802.11w seja feita atravs de uma atualizao do firmware dos equipamentos 802.11i, a manuteno da compatibilidade dos equipamentos com placas de acesso da verso 802.11i ou anteriores ser um

A transferncia de um cliente de um AP para outro sem a descontinuidade da comunicao. Interferncia deliberada atravs de ondas de rdio para impedir a recepo de sinais em uma banda de freqncia especfica.
15

14

15

problema uma vez que limitar a proteo fornecida pelo novo padro.

importante ressaltar que o padro IEEE 802.11w est previsto para ser concludo em 2008. Assim sendo, tanto o objetivo inicial do grupo quanto os mecanismos de segurana propostos podem mudar drasticamente at a publicao da especificao final.

6. Concluso
Este artigo apresentou uma anlise dos mecanismos de segurana de redes IEEE 802.11. Os protocolos WEP, WPA e WPA2 foram analisados sob os aspectos bsicos de segurana: autenticao, integridade e confidncia. Para cada protocolo foram descritas suas vulnerabilidades conhecidas. De todas as tecnologias abordadas neste artigo, o WEP, ainda a mais usada. A indisponibilidade de atualizaes de firmware de alguns fabricantes e a necessidade de aquisio de novos hardwares o maior fator contra o uso das novas tecnologias (WPA e WPA2), pois isto pode implicar grandes custos, principalmente em redes corporativas onde o nmero de equipamentos pode ser elevado.

As vulnerabilidades do WEP so muito fceis de serem exploradas. Qualquer pessoa com certo conhecimento das ferramentas existentes pode atacar uma rede Wi-Fi protegida por WEP, mesmo que no saiba como realmente funciona o ataque. Desta forma, a segurana da maioria das redes Wi-Fi pode ser comprometida. Vimos que o padro de segurana mais recente (WPA2 ou IEEE 802.11i) tambm no protege a rede de forma integral, por isso a necessidade do desenvolvimento de um novo padro, o IEEE 802.11w. Em nossas anlises, foi demonstrado que apesar de ainda estar em fase de desenvolvimento, o IEEE 802.11w j apresenta diversas falhas de segurana que precisam ser resolvidas antes da finalizao do padro.

7. Referncias
[1] - Shafi, M et al, 1997. Wireless communications in the twenty-first century: a perspective. Proceedings of the IEEE. Vol 85, No 10, pp 1622 1638.

[2] - IEEE 802.11 WG, 1999. Part11: Wireless LAN Medium Access Control (MAC) and Physical Layer Specification. IEEE Computer Society.

[3] - Borsc, M.e Shinde, H., 2005. Wireless security & privacy. Personal Wireless Communications, 2005. ICPWC 2005. 2005 IEEE International Conference on. pp 424 428.

[4] - Boland, H.e Mousavi, H., 2004. Security issues of the IEEE 802.11b wireless LAN. Electrical and Computer Engineering, 2004. Canadian Conference on. Vol 1, pp 333 336.

[5] - Fluhrer, S., Mantin, I. e Shamir, A., 2001. Weaknesses in the key scheduling algorithm of RC4. Eighth Annual Workshop on Selected Areas in Cryptography. Toronto, Canada.

16

[6] - IEEE 802.11i WG, 2004. Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications, Amendment 6: Medium Access Control (MAC) Security Enhancements. IEEE Computer Society.

[7] - Shunman, W., 2003. WLAN and it's security problems. Parallel and Distributed Computing, Applications and Technologies (PDCAT'2003), Proceedings of the Fourth International Conference on. pp 241 244.

[8] Borisov, N., 2001. Intercepting Mobile Communications: The Insecurity of 802.11. In Proceedings of the Seventh Annual International Conference on Mobile Computing and Networking (MOBICOM). pp 180 188.

[9] Wi-Fi Alliance, 2003. Wi-Fi Protected Access: Strong, standards-based, interoperable security for today's Wi-Fi networks

[10] - Moen, V., Raddum, H. e Hole, K., 2004. Weaknesses in the Temporal Key Hash of WPA. Mobile Computing and Communications Review. Vol 8, pp 76 83.

[11] Weiser, M., 1994. The world is not a desktop. Interactions. pp. 7-8.

[12] Weiser, M., 1993. Hot Topics: Ubiquitous Computing. IEEE Computer.

[13] Weiser, M., 1993. Some Computer Science Problems in Ubiquitous Computing. Communications of the ACM.

[14] - Weiser, M., 1991. The Computer for the Twenty-First Century. Scientific American. pp. 94-10

[15] Whiting, D., Housley, R. e Ferguson, N., 2003. Counter with CBC-MAC (CCM). IETF RFC 3610

[16] - He, C. e Mitchell, J., 2005. Security analysis and improvements for IEEE 802.11i. The 12th Annual Network and Distributed System Security Symposium (NDSS'05). pp 90-110.

17