Wep – wired equivalent privacy – dat niet alleen draadloze maar ook bedrade netwerken beveiligt, biedt niet meer voldoende bescherming voor uw draadloze netwerk. Dat wep een hoop zwakke plekken heeft waardoor hackers er makkelijk doorheen komen, is echter al sinds 1999 bekend. Inmiddels zijn hackertools als Airsnort, Kismet en Wepattack dan ook overal op internet te vinden. Wlan-gebruikers die alleen op wep vertrouwen, hebben dus geen waterdicht systeem. Het verbergen van het ssid (Service Set Identifier, wlan-netwerknaam) of een mac-adresfilter op het access point bieden geen bescherming en zijn zelfs voor ongeoefende hackers een peulenschil. Veilig netwerk Maar wat kunt u dan wel doen om uw netwerk af te schermen? Het wordt pas echt veilig met een vpn-tunnel of andere versleutelingstechnieken. Hiervoor is echter zeer veel technische kennis nodig, waardoor hiervan meestal alleen sprake is bij bedrijfsnetwerken. Mede daarom hebben de wlan-fabrikanten in hoog tempo gewerkt aan een vervanging voor wep: wpa (Wi-Fi Protected Access), een technisch zeer goed uitgewerkte vorm van versleuteling. Voordat we echter dieper ingaan op wpa, leggen we eerste uit waar de zwakke punten bij wep precies zitten. Geen unieke sleutels Wep is gebaseerd op hetzelfde algoritme (RC4) als het ssl-protocol (secure sockets layer) dat gebruikt wordt voor thuisbankieren en betalen op internet. Om RC4 veilig te maken, mogen verschillende datapakketjes absoluut niet met dezelfde sleutel gecodeerd worden. En hier wringt de schoen bij wep: de sleutel bestaat uit een 40- of 104-bit lange en vrij te kiezen wep-sleutel (ascii-tekens of hexadecimaal) en een 24-bits initialisatie-vector (iv). Omdat elke fabrikant de iv op eigen wijze mag gebruiken, wordt deze altijd onversleuteld verzonden. De iv moet voor onderscheid tussen de sleutels zorgen, omdat de sleutel die door de systeembeheerder wordt ingevoerd in de access points en clients altijd dezelfde is. Aangezien de sleutels handmatig moeten worden ingevoerd, is een regelmatige wisseling van de wep-sleutels alleen iets waar extreem geordende systeembeheerders zich aan zullen wagen. Omdat door de 24-bits lengte van de initialisatie-vector slechts 16,7 miljoen verschillende vectoren mogelijk zijn, herhalen de sleutels zich na maximaal 25 GB aan verstuurde netwerkdata. Dit duurt in een 802.11b-netwerk met slechts één actieve client ongeveer dertien uur. In een draadloos netwerk met meerdere clients herhalen de sleutels zich echter beduidend eerder: veel wlan-kaarten gaan namelijk na de eerste iv netjes het rijtje af. Komen daarna meerdere clients met dezelfde wlan-kaarten op het netwerk, dan worden altijd dezelfde iv's in dezelfde volgorde gebruikt. Van toevallig uitgekozen sleutels is dus geen sprake. Xor Mocht een hacker twee verschillende, met eenzelfde sleutel gecodeerde pakketjes in handen krijgen, dan kan hij met een xor-functie (Exclusive OR) de inhoud van deze pakketjes tegenover elkaar afzetten en op deze manier de ongecodeerde pakketinhoud tevoorschijn halen (zie schema). De wep-sleutel zelf kan hij zo niet achterhalen. Wil de xor-functie succes opleveren, dan moet de hacker wel de inhoud van één van beide pakketjes kennen. Dat krijgt hij bijvoorbeeld voor elkaar via 'packet injection': de hacker voegt een eigen pakketje met een voor hem bekende inhoud toe (via een special tool of door een e-mail te sturen aan de te hacken gebruiker) aan het netwerk. Zodra het bericht via het netwerk aan de gebruiker verzonden wordt, ziet de hacker het met wep-gecodeerde bericht dat hij zelf verzonden heeft. Zwakke iv's De iv heeft nog een ander, groter veiligheidslek. Bij 128-bit wep zijn er van alle iv's ongeveer 3300 zogenaamd 'zwak'; deze zwakke iv's kunnen – door een fout in de implementatie van het algoritme – één byte van de wep-key als leesbare tekst bevatten. In theorie zijn er maar 13 pakketjes met zwakke iv's nodig om de complete 128-bit ascii-sleutel te reconstrueren. De praktijk is echter anders: er is ongeveer 2 GB aan data nodig voor de daadwerkelijke reconstructie van de sleutel. Wel zijn er tools als Wepcrack die in een paar seconden de sleutel voor de hacker tevoorschijn toveren, zolang er maar voldoende zwakke iv's voorhanden zijn. Vanaf dat moment staat het complete draadloze netwerk voor de hacker open, omdat alle gebruikers dezelfde sleutel gebruiken. Enkele fabrikanten hebben dit probleem ondervangen door in hun access points en wlan-kaarten een zogeheten weak-key-avoidance aan te bieden; hierdoor worden de zwakke iv's er van tevoren uitgepikt en worden ze niet verzonden. Een echte oplossing is dit echter niet: er hoeft maar één gebruiker in het netwerk te zijn wiens kaart deze techniek niet ondersteunt en de zwakke iv's zijn er weer. *** Cisco WPA.eps: Wpa-geschikte access points bieden een ruime mogelijkheid aan coderingstechnieken. *** WPA.eps: Na een update kan ook Windows XP met wpa-geschikte hardware overweg. Wpa maakt het veilig Omdat de iv het probleem is bij het wep-algoritme, heeft de wlan-industrie zich erop toegelegd om het eveneens op RC4-gebaseerde wpa-algoritme op een andere manier met sleutels te laten omgaan. Wpa is backwards compatibel met wep, zodat bestaande kaarten en access points via een firmware-upgrade geschikt worden voor wpa. Pas met de nieuwe 802.11i (wpa 2), dat voor het eind van 2004 gepland staat, zal een overgang plaatsvinden naar het duidelijk betere aes (Advanced Encryption Standard). De meest in het oog springende verandering die wpa doorvoert is de invoering van het tkip (Temporal Key Integrity Photocol). Tkip neemt naast de iv en wep-sleutel ook het wereldwijd unieke mac-adres (netwerk-adres) in de sleutel op. Zo kan een hacker na een succesvolle hackpoging alleen de communicatie decoderen die tussen een wlan-client en een access point verstuurd wordt. Alle andere clients worden niet getroffen door deze aanval. Om de kans op een vaak terugkerende sleutel verder te verkleinen, wordt de lengte van het iv naar 48 bits verhoogd. Hierdoor zijn er meer dan 500 miljard verschillende iv-combinaties mogelijk. Daarnaast wordt de wep-sleutel eenmalig tussen de client en het access point verstuurd: aan het begin van de communicatie. Voor alle volgende datapakketten creëert het tkip-mechanisme een nieuwe sleutel (temporal key) op basis van de iv en de wep-sleutel. Deze temporal key wordt dan samen met de iv door het RC4-algoritme gehaald om tot een gecodeerde pakketinhoud te komen. Dit houdt in dat elk pakketje met een unieke sleutel gecodeerd wordt, waardoor een succesvolle hacker in het gunstigste geval de sleutel voor dit ene, in de regel 1500 bytes grote pakketje kan ontcijferen. De in Windows Server 2003 geïntegreerde radius-server accepteert ook smartcards voor gebruikersidentificatie. Thuis en op het werk Door tkip is uw netwerk thuis en op het werk even goed beveiligd. In een thuisnetwerk zorgt de techniek ondanks een statische wep-sleutel voor steeds veranderende sleutels. Bij zakelijke netwerken adviseert de Wi-Fi Alliance (de overkoepelende organisatie achter de wlan-standaarden) om de ieee 802.1x-infrastructuur-modus in te schakelen. Met 802.1x worden wep-sleutels snel en makkelijk aan een groot aantal clients doorgestuurd, zonder dat de systeembeheerder de sleutel handmatig op elke machine en in elk access point hoeft in te voeren. Daarnaast biedt 802.1x mogelijkheid tot gebruikersidentificatie, bijvoorbeeld via smartcards of een radius-server. Bij wep en wpa wordt alleen de hardware door de wep-sleutel herkend, niet de individuele gebruiker. Een gestolen of verloren notebook met opgeslagen wep-sleutel kan probleemloos door de vinder op het netwerk van de originele gebruiker aangemeld worden. Door een gebruikersaanmelding op het wlan wordt dit risico tot een minimum beperkt. Hoe veilig een netwerk is, hangt grotendeels af van de aanpak van de fabrikanten. Tot nog toe heeft de wlan-industrie met wpa in ieder geval een niet te hacken standaard gecreëerd. Conclusie Wie een veilige draadloze verbinding wil opzetten kan met wep eigenlijk niet meer uit de voeten, omdat dit protocol te eenvoudig te kraken is. Hoewel geen enkel algoritme honderd procent hack-bestendig is, is wpa op dit moment een uitstekende oplossing. Kunt u uw netwerkkaart en access point dus via firmware geschikt maken voor wpa, dan raden wij u dit ten zeerste aan. Meer weten over over wep, wpa en zwakke iv's? Op www.isaac.cs.berkeley.edu/isaac/wep-faq.html vindt u een beschrijving van de kraakmethode bij repeterende Initialisatie-Vectoren. Op www.cs.umd.edu/~waa/class-pubs/rc4_ksaprocs.ps leest u een artikel van crypto-analysten Fluhrer, Mantin en Shamir over zwakke iv's. www.cs.umd.edu/~waa/wireless.pdf toont verdere zwaktes van de wep-versleuteling aan. Op support.microsoft.com/?kbid=815485 downloadt u de wpa-update voor Windows XP.