1

Безопасность беспроводных ЛВС:

как взломали вашу сеть

и как вы могли этого избежать.

Дмитрий Рыжавский

системный инженер

dryzhavs@cisco.com

2

Правила взлома беспроводных ЛВС

• О чем эта презентация?• Немного теории и систематизация атак• Инструментарий – «набор хакера»• DoS-атаки (отказ в обслуживании)• Уязвимости протокольного уровня• Ошибки имплементации (внедрения)• Рассказ о пропавшем абоненте – защита ноутбуков• Абоненты за пределами офиса• Посторонние устройства (Rogues)• Внеканальные посторонние устройства (Rogues)• Уязвимости WEB-аутентификации• CUWM – правила самообороны

Содержание

3

Вы получите представление…

• об особенностях обеспечения безопасности WiFi сетей

• какие инструменты доступны для защиты

• о том как могут выглядеть реальные атаки

• к каким проблемам может привести некорректное применение

технологий

• Не справочник по криптографии и методам аутентификации

• Не всеобъемлющий справочник

Немного теории

5

Семиуровневая модель

IP

TCP/UDP Шифрование?

Шифрование?

6

Архитектура аутентификации IEEE 802.1X

• Рекомендована IEEE 802.11 Task Group i

• Реализована у Cisco с 12/2000• Основные положительные качества

– Разнообразные типы аутентификации– EAP-TLS, PEAP, EAP-FAST, LEAP– Централизованное управление

временем жизни ключей, проч. – Генерация индивидуальных сессионных

ключей– Новые алгоритмы шифрования, в т.ч.

AES как альтернатива RC4– Взаимная аутентификация– Использования аппаратных средств

аутентификации– Централизованный учет доступа

пользователей

Аутентификатор AP

RADIUSServer

ExtensibleAuthenticatio

nProtocol (EAP)

RADIUS

Базапользователей

Сервер аутентификации

КлиентСапликант

Терминология IEEE802.1x

7

Cisco ACS User Policy Steps

Phase 1 User Authentication

EAP

Allowed

User?

Allowed

Access

Phase 2 User Policy

• SilverQoS

• Allow-AllACL

• EmployeeVLAN

WLCLimited

Access

ACS

8

User and Device

Specific Attributes

• Employee VLAN

• Gold QoS

Employees

• Employee VLAN

• Gold QoS

• Restrictive ACL

Employee Mobiles

ISE• Device Profiling

• Dynamic Policy

Cisco’s User-Based Policy Solution with ISE

WLC

Employee

VLAN

Contractor

VLAN

• Contractor VLAN

• No QoS

• Restrictive ACL

Contractors

• No Access

Contractor Mobiles• With the ISE, Cisco wireless can

support multiple users and device

types on a single SSID.

9

Терминология

Стандарты

защиты WiFi

802.11i – WPA –

WPA2

Аутентификация PSK - 802.1x(EAP)

ШифрованиеTKIP – WEP – AES-

CCMP

10

5 главных целей злоумышленника:

1. Заблокировать возможность нормальной работы сети

(отказ в обслуживании) - DoS

2. Украсть информацию с клиентских компьютеров

3. Получить доступ к сети как клиент – для этого нужно

украсть учетную запись легитимного пользователя

4. Реализовать атаку Man in the middle, встав на пути

данных между пользователями и информационными

ресурсами

5. Получить возможность пассивно захватывать и

расшифровывать передаваемые данные

11

Классификация атак

• Что такое уязвимость?

– Это недостаток, который дает возможность злоумышленнику

снизить защищенность системы (wikipedia)

• Что такое атака?

– Способ использовать уязвимость

12

Классификация атак

• Возможны разные способы классификации

– Пассивные атаки:

– Прослушивание

– Анализ передаваемых данных

– Активные атаки На основе протоколов

– Denial of Service

– Выдать себя за другого Исчерпание ресурсов

– Эскалация прав доступа

13

Hidden SSID (non-Broadcast)

• Администраторы по прежнему «скрывают» SSID в качестве

меры безопасности

• Многие клиентские утсройства лучше работают при

широковещаемом SSID

• Сокрытие даже не экономит РЧ ресурс

• Единственный плюс: нет случайных попыток подлючения со

стороны случайных абонентов

• Разве что, может быть полезно при аудите

14

Можно ли обнаружить скрытые SSID (non-Broadcast)

• Подождать подключающегося клиента… или организовать DoS

(deauth отключить) чтобы клиент был вынужден

переподключиться вновь

Можно ли их обнаружить? Ведь в beacon их нет…

Набор инструментов

16

Инструментарий – борьба за расстояние

Как далеко находится хакер?

100 метров…. 200 метров .....1000 метров…..?

парковка, соседнее здание, кафе этажом ниже….

Ubiquity SWX-SRC

300mW

17

ALFA USB WiFi AWUS036H

Поддерживается в BackTrack 5 Linux, Ubuntu

Доступны драйверы для OSX 10.4, 5, 6, 7* и Windows 98, 2000, XP, Vista and 7.

•Adapter with standard RP-SMA antenna connector

•High gain 5dBi Antenna

•Micro USB Cable

•Best of WiFi DVD

Supports 802.11 b/g, 2.4-2.487 GHz channels 1-14, Managed and Monitor modes and

1000mW txpower.

$34.99

18

Инструментарий – борьба за расстояние

адаптеры Ubiquiti Networks http://ubnt.com

антенны Cushcraft http://www.lairdtech.com

кабели и переходники www.digikey.com

Yagi-антенна 14dB антенные переходники и адаптеры

магнитная антенна на крышу авто

8dB

антенна18dB

Пр

им

ер

ы:

19

Мобильность

Backtrack

Отказ в обслуживании

22

DoS Атаки

• Исчерпание ресурсов– ―Всегда можно отправить чрезмерное количество чего-то‖

• На основе протокольных уязвимостей– ―Ping Death‖– Могут быть проблемами определенных устройств или протоколов

• И еще много потенциала в беспроводной среде для DoS атак:– TKIP MIC, Auth flood, Assoc flood, Deauth, NAV, RF Jamming, etc

– Необходимо оборудование, которое умеет фиксировать и, оптимально, предотвращать. Cisco?

23

DoS – генерация помех

• Легко реализовать, легко обнаружить, невозможно

предотвратить

24

DoS TKIP MIC

• Пример атаки на базе протокольной уязвимости

• MIC используется для защиты целостности данных

• Если обнаружены 2 ошибки группового ключа, ТД начинает включать предотвращающий алгоритм на 60 секунд для данной SSID

• Уязвимость MIC используется как часть TKIP injection атак(Beck-Tews, Halvorsen, Ohigashi-Morii)

• Эффект: можно за-DoS-ить любую TKIP сеть

–

25

DoS TKIP MIC, рецепт атаки

Что нам понадобиться?

Инструмент атаки: mdk3 (поддерживает различные технологии DoS)

26

DoS TKIP MIC, можно ли обнаружить атаку?

• Да, ошибки MIC контролируются– show trapl

– Number of Traps Since Last Reset ............ 427

– Number of Traps Since Log Last Displayed .... 2

– Log System Time Trap

– --- ------------------------ -------------------------------------------------

– 1 Mon May 3 15:26:11 2010 WPA MIC Error counter measure activated on Radio

– with MAC 00:1c:b0:ea:63:00 and Slot ID 0. Station

– MAC Address is 00:40:96:b5:11:19 and WLAN ID is 6

• Можно отключить алгоритм востановления -> последствия: больше уязвимостей для атак подмены

• Могут присутствовать случайные ошибки• Оптимальное решение для защиты: использовать

WPA2+AES

27

DoS 802.11 floods

• Трафик управления (сигнализация) 802.11 может быть подменен, т.к. не защищается

• Flood приводит к исчерпанию ресурсов:• Тысячи источников пытаются подключиться к одной ТД• Память зарезервирована, association ID использовано,

использование CPU высокое, etc

• Нет простого решения:• Ограничение скорости обмена информации на ТД• Client MFP единственный ограничивающий фактор

• Эффект ограничен: временная потеря сервиса

28

DoS в 802.11

• Как защититься:

– WLC, 12.4(21a)JY имеет алгоритм предотвращения DoS auth

• Детектирование – оптимальный вариант

• Flood отображаются со стандартными сигнатурами WLC

• Атаки на базе протоколов типа подмены NAV легко детектируются

• WCS карты могут указать местоположение

• MFP может обнаружить инперсонализированные ТД

• Правила обнаружения посторонних устройств быстро обнаружат посторонние ТД

29

Функция MFP и ее преимущества

• Обнаружение атак: посторонние AP, man-in-the-middle и другие

атаки с манипуляцией управляющими кадрами

– Повышает надежность обнаружения AP и WLAN IDS signature

detection

• Предотвращение атак: будет поддерживаться на абонентах с

функцией проверки ЭЦП (CCXv5 clients)

• Инновации Cisco для обеспечения безопансоти

• Стандарт в разработке—IEEE 802.11w

CCX: http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_concept_home.html

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco PublicTECEWN-2020 30

Management Frame ProtectionConcept

Wireless management frames are not authenticated, encrypted, or signed

A common vector for exploits

Insert a signature (Message Integrity Code/MIC) into the management frames

Clients and APs use MIC to validate authenticity of management frame

APs can instantly identify rogue/exploited management frames

Infrastructure MFP Protected

Client MFP Protected

AP BeaconsProbe Requests/Probe Responses

Associations/Re-associations Disassociations

Authentications/De-authentications

Action Management Frames

Problem Solution

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco PublicTECEWN-2020 31

Infrastructure MFP

infrastructure MFP is enabled/disabled on the WLC

1 key for every AP / WLAN

can be selectively disabled per WLAN, and validation can be selectively disabled per AP.

can be disabled on the WLANs that are used by devices that cannot cope with extra IEs.

Validation must be disabled on APs that are overloaded or overpowered

MIC is added at end of Mngt Frame (before FCS)

Рассказ об украденном абоненте

33

Самое слабое звено – клиентские устройства

Корпоративнаясеть

• Беззащитные ноутбукиУ злоумышленника больше всего шансов на успех в случае организации атаки против клиентских устрйств

Internet

4. Man in the middle!!!

34

Что это?

35

Intel ProSet

36

Cisco Secure Services Client

37

Пользователи…….!!!!!!!!

38

http://www.oxid.it/

39

WiFi Pineapple

Mark III puts Karma, URL Snarf, DNS

Spoof, ngrep, deauth via Aircrack-NG and

much more at the click of the link. Internet

Connection Sharing has also been greatly

simplified with the Mark III acting as DHCP

server for connecting clients. Phishing

attacks are also built-in with the DNS

Spoofing capabilities -- all configurable

from the PHP-driven web interface.

http://hakshop.myshopify.com

40

Social Engineer Toolkit (SET)

http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29

41

Karmetasploit is a new implementation of Dino Dai Zovi's original and excellent tool KARMA.

"KARMA is a set of tools for assessing the security of wireless clients at multiple layers.

Wireless sniffing tools discover clients and their preferred/trusted networks by passively

listening for 802.11 Probe Request frames. From there, individual clients can be targeted by

creating a Rogue AP for one of their probed networks (which they may join automatically) or

using a custom driver that responds to probes and association requests for any

SSID. Higher-level fake services can then capture credentials or exploit client-side

vulnerabilities on the host." -http://theta44.org

The main differences between Karma and Karmetasploit it that is Karmetasploit does not

have the limitation of only working on hardware configured with the patched Mad-wifi drivers,

and it also comes with the powerful exploit framework that is metasploit.

За стенами офиса...

“Маленькие дети! Ни за что на свете

Не ходите в Африку, В Африку

гулять!”

-Корней Чуковский

43

На охоту за сотрудниками

Алгоритм действий:

1. Хакер узнает MAC адрес

компьютера сотрудника

2. По user id можно узнать

имя

3. База данных «прописка» –

информация об адресе

4. Подкараулить возле дома

44

Wi-Fi Positioning System

• Позволяет узнать местоположение

маршрутизатора или точки доступа по его

MAC адресу (BSSID)

• Провайдеры

– Skyhook Wireless, доступен SDK

– Google

– Apple –iPhone/iPad до версии ПО 3.2 в

апреле 2010 использовал Skyhook

• Как можно использовать?

www.eye.fi

45

Application of

Borderless Network

services and policies

Extends Borderless Network services

from the core to the home

OfficeExtends

600 AP

WiSM2 / 5500

Controller

Home

modem / router

Corporate

Network

Industry Standard CAPWAP Encryption using DTLSNo Impact to controllers | Line rate support for broadband connections

Segments and Supports

Home Network Activities

46

Client Shun

Интеграция с сетевыми IPS Cisco

• Анализирует клиентский трафик на предмет вредоносной активности и блокирует подключение абонента

• Глубокий анализ трафика на 3-7 уровнях OSI

• Снижает риск проникнофения «инфекций» от беспроводных абонентов

• Защита нулевого дня от вирусов, вредоносного ПО и подозрительных действий

• IPS блокирует IP aдрес, WLC – MAC адрес

Сеть предприятия

Cisco ASA 5500 Seriesw/ IPS

L2 IDS

Вредоносный трафик

Предотвратить неправомерное

использование и вредоносную активность

со стороны абонентов WLAN

Задача

L3-7IDS

http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example0

9186a00807360fc.shtml#ov2

47

AnyConnect 3.0Highlights

• New Look and Feel—Tile-based UI

• Broad protocol support

–IPsec IKE v2 (+ SSL and DTLS)

• Unification of 4 Cisco clients

• Enhanced Security and Mobility

–Integrated connection management (L2 supplicant)

–Integrated posture assessment (HostScan)

–Wired network identity/security (802.1x and MACsec)

–Support for ScanSafe cloud security

–Endpoint telemetry feeds

Протокольные уязвимости

49

Атаки против протокола EAP

• Что такое EAP?– Extensible Authentication Protocol, RFC 3748

– Архитектура аутентикации на канальном уровне

– Часто используется совместно с протоклами PPP или 802.1x

• Какие протоколы работают поверх EAP? -> множество…– EAP-MD5: разработка IETF, минимальная безопасность

– LEAP: разработка Cisco, устаревший и уязвимый

– EAP-TLS: RFC 5126, базируется на PKI, защищенный, сложный

– PEAP: общая разработка, поддерживается большинством, много внутренних методов

– EAP-Fast: базируется на TLS, эволюция LEAP/PEAP, направлен на более простое внедрение

– И много других: EAP-IKE, EAP-AKA, EAP-TTLS, EAP-SIM, etc, etc…

50

EAP Protocols: особенности

EAP-TLS

PEAP LEAPEAP-FAST

Vulnerable to Off-Line Dictionary Attacks

No No Yes1 No

Fast Secure Roaming (CCKM) Yes Yes Yes Yes

Local WLC Authentication Yes Yes Yes Yes

Server Certificates Yes Yes No No

Client Certificates Yes No No No

Deployment Complexity High Medium Low Low

RADIUS Server Scalability Impact

High High LowLow/

Medium

1Strong Password Policy Recommended. Please Refer to:

http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_bulletin09186a00801cc901.html

Односторонняя

аутентификация в EAP-TLS

“…. Человека по одежке встречают”

Пример некорректного использования

технологии

52

EAP-TLS – очень надежен, но если

использовать некорректно…

EAP-TLS защищенный алгоритм аутентификации

– Позволяет двусторонний процесс аутентификации между сапликантом и сервером аутентификации

– Поддерживается практически всеми производителями беспроводных решений и клиентов

– Существуют трудности при внедрении: использование PKIтрудоемко, процедура автообновления сертификатов может быть сложна для реализации в ряде случаев

– Активная поддержка двухфакторных систем (смарткарты, токены, и т.п.)

– Должным образом защищено: так как же сломать?

– Если правила доверия некорректно настроенны.

53

EAP-TLS – защищен, но можно взломать…

EAP-TLS требует 2 сертификата

1. Сервера: идентифицирует аутентикатора, и позволяет

клиенту понять к кому он подключается…

2. Клиента: идентифицирует клиента для проверки

аутентикатором (ТД/WLC, пр)

Типичная проблема: вместо покупки сертификатов у сторонних

служб или разверывания собственной службы CA, клиентские

устройства настраиваются «не проверять сертификат

сервера»(―do not validate‖)

54

EAP-TLS – защищен, но можно взломать…

ProSet

ADU

55

Рецепт атаки на EAP-TLS

• Необходимые ингридиенты:

– Сервер аутнетификации который умеет игнорировать

сертифкат клиента

– Пример: Cisco WLC с соответсвующими настройками, или

FreeRadius www.freeradius.org

– Жертва

– Механизм чтобы вынудить клиента выбрать ―свою‖ точку

доступа для подключения

56

Рецепт атаки на EAP-TLS

• Пример настройки контроллера – игнорируем все возможные параметры– (Cisco Controller) >show local-auth config

– User credentials database search order:

– Primary ..................................... Local DB

– Timer:

– Active timeout .............................. 300

– Configured EAP profiles:

– Name ........................................ cisco

– Certificate issuer ........................ vendor

– Peer verification options:

– Check against CA certificates ........... Disabled

– Verify certificate CN identity .......... Disabled

– Check certificate date validity ......... Disabled

– EAP-FAST configuration:

– Local certificate required .............. No

– Client certificate required ............. No

– Enabled methods ........................... tls

– Configured on WLANs ....................... 1

57

FreeRADIUS WPE

• FreeRADIUS - Wireless Pwnage

Edition

Патч к FreeRADIUS для Linux

http://www.willhackforsushi.com/FreeRADIUS_WPE.html

58

59

EAP-TLS, методы борьбы

• Политики на Adaptive WIPS позволяют

обнаруживать «фальшивые» точки доступа

• Функционал MFP предупредит о

переиспользовании BSSID

• Встроенная в контроллеры IDS определяет это

как злонамеренную атаку

• Используйте серверные сертификаты!!!

Cisco LEAP

Устаревший метод EAP

61

LEAP

• Поддерживал возможность динамической смены ключа WEP.

• Активно используется для беспроводного, не проводного

разворачивания 802.1x.

• Легко настраиваемый – отсюда название Lightweight EAP.

• Мог быть легко добавлен в беспроводный адаптер, позволяя на

аппаратном уровне реализовать аутентификацию.

62

LEAP, рецепт атаки

• Восстановление тривиальных паролей

• Необходимые компоненты:

– Перехват обмена аутентификацией

– Быть терпеливым

• Основные доступные инструменты:

– Asleap (linux, windows port)

http://www.willhackforsushi.com/Asleap.html

– THC-leapcracker

http://freeworld.thc.org/releases.php?q=leap&x=0&y=0

63

LEAP – Шаг 1

• Asleap: Использует просчет хэш на основе словаря

• THC-leapcracker: полный перебор (brute force)

• По словарю быстрее, но результат зависит от качества словаря

• Полный перебор: медленно, но позволяет подобрать любой

вариант

64

LEAP – Можно ли обнаружить атаку?

• Нет, если атакующий терпелив

• Да, если атакующий использует атаку Deauth (DoS)

• Лучшее предотвращение: не использовать LEAP

WPA-PSK

“…. Человека по одежке встречают”

Пример протокольной уязвимости

66

WPA(2)-PSK

• Позволяет аутентифицировать обе стороны без Radius сервера

• Простое внедрение, используется домохозяйками

• Если ключ стал доступен, требуется поменять его на всех

устройствах в сети

• Как любой алгоритм с «общим ключом», уязвим к атакам со

словарем/подбору

• Множество ключей от 8 до 63 байт

• Если у хакера есть ключ (PSK) + и записана аутентификация

(EAPoL), он может дешифровать записанный трафик!

67

WPA-PSK, рецепт атаки

• Основные компоненты: EAPoL (M1 to M4) + название SSID

• Для 8 символов + чисел: полный подбор, инструмент

www.oxid.itCain: 750 лет

• Для 10 символов + чисел: полный подбор, инструмент Cain tool :

673706 лет

• Слишком долго!!

68

69

WPA-PSK GPU атаки

• Простой рабочий компьютер анализирует 2200 комбинаций

ключей в секунду при атаке полного подбора

• Высокопроизводительная GPU видеоадаптер- 52400

комбинаций

• Это между 2.5 года и 61.5 лет против 750 на том же множестве

ключей

70

280 PMK/S - http://pyrit.wordpress.com/

71

73

WPA-PSK Rainbow table атаки

• Rainbow table: используют базы данных хэш-сум для восставновления паролей

• Можно сгенерировать свою: pyrit (с поддержкой GPU )

• Можно скачать: ―Church of WiFi‖ 40 GB для 1000 наиболее популярных имен SSID и 1M возможных паролей, генерируется микросхемой в течении 3 дней

• Открытые инструменты для использования Rainbow table(coWPAtty)

• Если SSID подошло, и пароль в словаре, то востановление пароля занимает секунды.

http://imgs.xkcd.com/comics/security.png

74

WPA-PSK подводя итоги

• Для того, чтобы по настоящему защититься, Вам необходим по

настоящему случайный пароль, более 12 символов

• Использовать нестандартные SSIDs

• Помнить, что WPA и WPA2 атаки, не зависят от шифрования.

• Если есть PSK, и EAPoL, можно расшифровать весь траффик

для данной сессии

• Если PSK ключ утерян, необходимо его заменить на всех

устройствах: не лучший вариант для корпоративной защиты

Уязвимость 196

“…. Человека по одежке встречают”

Пример протокольной уязвимости

76

Архитектура стандартов

Pairwise Transient Key (PTK)

- Свой у каждого абонента

- Защищает юникаст трафик

Group Temporal Key (GTK)

- Общий на всех клиентах АР

- Защищает броадкаст и

мультикаст трафик

77

Самое слабое звено – клиентские устройства

Проводной сегмент

Я gateway

зашифровано GTK

2

1

Данные

жертвы в сеть

3

Данные

жертвы в сеть4

gateway

78

Рецепт

Что можно получить: возможность для Man In The Middle в условиях невидимости для проводного IDS

Какие протоколы подвежены: 802.1x, WPA-PSK WPA2-PSK,

все!!!

Что нужно для осуществления:

•быть легитимным клиентом сети

•узнать GTK – wpa_supplicant (0.7.0) http://hostap.epitest.fi

•послать в эфир фальшивый ARP ответ - Madwifi (0.9.4)http://madwifi.org/

Методы защиты:

•Wireless IPS – узнать вовремя

•peer-to-peer blocking mode, функция контроллера -предотвратить

Обнаружение, локализация и

подавление посторонних

устройств.

Беспроводная сеть двойного назначения

Какие бывают посторонние WiFi устройства?

• Точки доступа

• Домашние маршрутизаторы

• Ноутбуки

• Смартфоны и планшеты

• Принтеры – ad-hoc режим работы

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco PublicTECEWN-2020 81

Принтер – плацдарм для атаки

Уязвимости ОС и пароли по

умолчанию могут дать

возможность хакеру настроить

встроенный Linux в режим

маршрутизатора

82

Если немного пофантазировать...

• Подарок в виде флэшки, мышки, клавиатуры…

• Пример – USB Rubber Ducky

– http://hakshop.myshopify.com/

83

Три этапа работы с посторонними устройствами

Поиск

• Прослушивание эфира для обнаружения посторонних точек доступа, клиентов и одноранговых устройств

Описание

• Классификация на основе RSSI, SSID, наличия клиентов и т.д.

• Проверка на наличие подключения к проводной инфраструктуре

• Определение порта – Switch Port Tracing

Борьба

• Отключение портов на коммутаторах

• Определение местоположения

• Блокировка радиопередачи информации

84

Особенности для 802.11n

• Детектируется 11a/g устройствами

• Наиболее распространенный режим для 11n АР

• Обеспечивает совместимость с 802.11a/g устройствами благодаря использованию 11a/g модуляции для management и control фреймов.

802.11n - Mixed Mode

• Определяется только 802.11n устройствами

• В этом случае, management, control и data фреймы передаются с использованием 11n методов модуляции

802.11n – Greenfield Mode

Поиск

85

Rogue Detector AP «на проводе»

Обнаруживает все ARP пакеты, в т.ч. Посторонних устройств

Контроллер получает от АР-детектора список MAC-адресов из ARP пакетов

Не работает с маршрутизаторами и NAT APs

АР в режиме Rogue Detector

Принцип работы

Rogue APAuthorized AP

L2 коммутируемая сеть

Trunk Port

Rogue Detector

Client ARP

Classify

86

Rogue Location Discovery Protocol

Принцип работы

Rogue APManaged AP

RLDP (Rogue Location Discovery Protocol)

Подкючаемся к посторонней AP как клиент

Отправляем IP пакет на собственный IP адрес

Работает только если не включено шифрование

Controller

Routed/Switched NetworkSend Packet

to WLC

Connect as

Client

Classify

87

Трассировка порта коммутатора Switchport Tracing

Принцип работы

Rogue APManaged AP

WCS Switchport Tracing

Определяем по CDP коммутатор, к которому подключена наша AP, обнаружившая угрозу

Получение с коммутаторов CAM таблиц и поиск соответствующего MACадреса

Может использоваться при наличии шифрования и использовании NAT

CAM Table

2

WCS

CAM Table

3

Show CDPNeighbors

1

MatchFound

Classify

WCS Switchport TracingКак работает

Tracing выполняется по

запросу по каждому ПУ

Switch port tracing started for rogue AP 00:09:5B:9C:87:68

Rogue AP 00:09:5B:9C:87:68 vendor is Netgear

Following MAC addresses will be searched:

00:09:5B:9C:87:68, 00:09:5B:9C:87:67, 00:09:5B:9C:87:69

Following rogue client MAC addresses will be searched:

00:21:5D:AC:D8:98

Following vendor OUIs will be searched:

00:0F:B5, 00:22:3F, 00:1F:33, 00:18:4D, 00:14:6C, 00:09:5B

Rogue AP 00:09:5B:9C:87:68 was reported by following APs: 1140-1

Reporting AP 1140-1 is connected to switch 172.20.226.193

Following are the Ethernet switches found at hop 0: 172.20.226.193

Started tracing the Ethernet switch 172.20.226.193 found at hop 0

Tracing is in progress for Ethernet switch 172.20.226.193

MAC entry 00:09:5B:9C:87:69 (MAC address +1/-1) found.

Ethernet Switch: 172.20.226.193, VLAN: 113, Port: GigabitEthernet1/0/33

Finished tracing all the Ethernet switches at hop 0

WCS

Classify

89

Cisco Rogue Management Diagram

Доступные методы

Ядро сети

Распределение

Доступ

SiSi

SiSi

SiSi

Rogue

AP

Rogue

AP

Wireless Control System (WCS)

Wireless LAN

Controller

RogueDetector

RRM Scanning

Rogue

AP

RLDP

Authorized

AP

Switchport Tracing

90

Методы детектирования проводного

подключенияСравнение

Open APs

Secured APs

NAT APs

SwitchportTracing

Средняя

RLDP

RogueDetector

1. AP определяет постороннее устройство в эфире

2. АР сообщает IP ближайшего коммутатора

3. Трассировка начинается с ближайших коммутаторов

4. Администратор отключает порт

Алгоритм работы Определение… Надежность

Open APs

NAT APs

100%1. AP определяет постороннее устройство в эфире

2. АР подлючается в качестве клиента

3. При успешном подлюченииотправляется RLDP пакет

4. При получении на WLCRLDP пакета делается соотвествующий вывод

Высокая1. Подключение detector AP к транковому порту коммутатора

2. АР-детектор получает все посторонние MAC от WLC

3. АР-детектор сопоставляет посторонние MACs с ARPсообщениями

Open APs

Secured APs

NAT APs

Classify

Определение местоположения ПУПо запросу при помощи WCS

• Позволяет определить местоположение отдельных ПУ по запросу

• Не сохраняет историю измения координат ПУ

• Не определяет местоположение клиентов ПУ

Mitigate

WCS

92

Локализация посторонних устройств

при помощи WCS и MSE

• Единовременная локализация множества посторонних устройств

• Сохранение истории перемещений

• Локализация посторонних клиентских устройств

• Локализация одноранговых клиентских устройств

WCS

Борьба

93

Подавление посторонних устройств

Принцип работы

Rogue AP

Authorized AP

Подавление посторонней AP

Отправка De-Authentication фреймов посторонним клиентам и АР

Могут использоваться local, monitor mode или H-REAP AP

Может оказывать негативное влияние на производительность

Mitigate

Rogue Client

De-Auth Packets

Борьба

Правила классификации ПУПринцип

Низкий уровень Высокий уровень

Вне сетиЗащищенный SSIDНеизвестный SSID

Слабый RSSIУдаленное расположение

Нет клиентов

Внутри сетиОткрытый SSID

«Наш» SSIDСильный RSSI

На территории КЛВСПривлекает клиентов

Классификация основана на степени опасности угрозы и действиях по обезвреживанию

Правила классификации соотносятся с моделью рисков заказчика

Classify

Обнаружено ПУ

Rogue Rule:SSID: tmobileRSSI: -80dBm

Помечается как Friendly

Rogue Rule:SSID: CorporateRSSI: -70dBm

Помечается как Malicious

ПУ не удовлетворяет установленным

правилам

Помечается как Unclassified

Правила классификации ПУПример

Правила хранятся и выполняются на радио-контроллере

Classify

96

Автоматическое подавление Борьба

Изоляция посторонних устройствКак работает

Mitigate

WCS

WLC

00:09:5b:9c:87:68

От 1 до 4 ТД могут

быть использованы

для проведения

изоляции

Mitigate

Изоляция посторонних устройствМетоды изоляции посторонних ТД

Mitigate

Только ПУ

Сценарий Метод изоляции

ПУ и их клиенты

Broadcast и Unicast Deauth кадры

Только Broadcast Deauth кадры

Mitigate

Изоляция ПУКак работает

• Каждые 100мс отсылаются минимум 2 de-auth пакета (20 пакетов в

секунду)

~100мс

ТД в режиме local mode может осуществлять изоляцию до 3-х ПУ на 1 радиоинтерфейс

ТД в режиме monitor mode может осуществлять изоляцию до 6-ти ПУ на 1радиоинтерфейс

Local Mode

Monitor Mode

6

3

Mitigate

Внеканальные посторонние

устройства

“…. Человека по одежке встречают”

-Народная мудрость

101

103

Атаки при помощи внеканальных посторонних

устройств

• Некоторые Open Source прошивки и драйверы позволяет

очень точно настраивать частоты:

– MadWiFi (http://madwifi-project.org/)–open source

драйверы для микросхем Atheros где доступен hardware

abstraction layer, что позволяет настроить частоту

передачи.

• Проблема – постороннее устройство, передающее не на

стандртном канале (например между 36 и 40) не может

быть обнаружено стандартными мерами.

104

WiFi Channel 40Off-Channel RogueWiFi Channel 36

Как выглядит внеканальный передатчик?

• Несущяя частота посторонней АР настроена на

нестандартынй для WiFi канал.

Center Frequency:

5.180GHzCenter Frequency:

5.200GHz

Center Frequency:

5.189GHz

105

CleanAir позволяет обнаруживать внеканальные

передатчики

Cisco CleanAir дает возможность обнаруживать

и определять местоположение любых устройств

на любых частотах.

Предоставляется информация о

местоположении и пострадавших каналах.

Wi-Fi и контроль за состоянием РЧ–спектра.

Почему микропроцессорная обработка важна?

• Обычный Wi-Fi чип это по сути процессор-МОДЕМ

• Он знает 2 вещи:

– ВЧ-сигнал, который можно демодулировать = Wi-Fi

– Набор ВЧ-сигналов, который нельзя демодулировать = Шум

• Структура шума сложна –

– Коллизии, фрагменты, повреждения

– Wi-Fi –сигнал ниже порога чувствительности приемника

• Пики Wi-Fi активности могут вызвать все вышеназванные

«эффекты»

Высокое спектральное разрешение – ключ к

точному анализу спектра

Обычный Wi-Fi чипсет

Спектр. сетка с 5 MHz шагом

Cisco CleanAir Wi-Fi чипсет

Спектральная сетка с шагом от 78 to 156 KHz

‘Восприятие’ чипсетом куска спектра с интерференцией микроволновки и

bluetooth

Microwave oven

BlueTooth

Microwave oven

BlueTooth

Pow

er

Pow

er

?

ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с

высоким разрешением интегрированный в точку доступа

Cisco Unified Wireless Network –

архитектура и принципы

работы механизмов

обеспечения безопасности

Отличия адаптивной wIPS от базовой IDS

радио-контроллера

• Меньше ложных сигналов тревоги

Корреляция сигналов тревоги

• Только 17 в базовой IDS контроллера

Число атак

• Захват пакетов атакиРасследования

(Forensics)

• Больше глубина архива и обнаружение аномалий

Историческая отчетность

WCSWCS

ТД

WLCТД

WLC

Адаптивная wIPS Отличие #1Аггрегация и корреляция сигналов тревоги

MSE

Адаптивная wIPSБазовая IDS контроллера

• Нет корреляции сигналов

тревоги

Адаптивная wIPS Отличие #2Обнаруживается большее количество типов атак

Адаптивная wIPSБазовая IDS контроллера

• Только 17 сигнатур

Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования

Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования

Адаптивная wIPS Отличие #4Историческая отчетность

• Информация о сигналах тревоги хранится в базе данных

(БД) MSE

– Максимум 6 миллионов сигналов тревоги может храниться в

базе данных MSE

• WCS посылает запросы в БД MSE во время создания отчета

• Отчеты создаются и просматриваются в WCS

Сканирование радиоэфира в поисках

посторонних устройствДва различных режима ТД для РЧ-сканирования

ТД в режиме Local Mode

• Обслуживание клиентов с переключением на другие каналы для сканирования

• Каждый канал прослушивается в течение 50мс

• В режиме сканирования можно настроить:

• Все каналы

• Каналы данного регуляторного домена (настройка по умолчанию)

• DCA-каналы

ТД в режиме Monitor Mode

• Предназначена для сканирования

• Прослушивает каждый канал в течение 1.2сек

• Сканируются все каналы

Алгоритмы обнаружения посторонних устройств

• Любая ТД, которая имеет неизвестные значения RF Group name или mobility group,считается посторонним устройством

• Автономные ТД, управляемые с WCS,автоматическизаносятся в «белый» список

Detect

РЧ-алгоритм сканирования каналовточка доступа в режиме Local Mode

1 2 1 3 1 4 1 5 1 6

36 40 36 44 36 48 36 52 36 56

1

36 60

16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с

14.5с 50мс

7 1

36 64 36 149

50мс 16с

ТД на канале 1 - 802.11 b/g/n – Разрешенные в США каналы

ТД на канале 36 - 802.11 a/n – Разрешенные в США каналы (без UNII-2 Extended)

10мс 10мс

с

14.5с 50мс 50мс 50мс 50мс 50мс 50мс 50мс14.5с 14.5с 14.5с 14.5с 14.5с 14.5с

10мс 10мс

…

…

Каждые 16с новый канал сканируется в течение 50мс

Каждые 14.5с, новый канал сканируется в течение 50мс

Detect

РЧ-алгоритм сканирования каналовточка доступа в режиме Monitor Mode

1 2 3 4 5 6

36 40 44 48 52 56 60 64 100 104 108 112

1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с

1.2с 1.2с

7

116 132 136 140

1.2с

802.11b/g/n – Все каналы

802.11a/n – Все каналы

10мс 10мс

1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с1.2с 1.2с 1.2с 1.2с 1.2с 1.2с

10мс 10мс

9 10 118 12 …

…

1.2с

Detect

Адаптивная wIPSКомпоненты и функции

Мониторинг, Отчетность

Over-the-Air Обнаруж.

Управление wIPS ТД

Комплексн. Анализ атак, Криминалистика, Событий

ТДОбнаруж.

атаки24x7 скан

WLC Настройка

MSEАрхив.

сигналов тревоги

Хранение

«захват»-пакетов

WCSЦентрализ.

мониторинг

Историч.

отчетность

Mobility Services EngineПоддержка сервисов Cisco Motion

• Сервисы мобильности могут иметь другие требования к ПО

WLC/WCS

• Адаптивная wIPS лицензируется по количеству ТД в wIPS

monitor mode

3310 Mobility Services Engine 3355 Mobility Services Engine

Поддержка адаптивной wIPS для 2000 ТД в Monitor Mode

Поддержка адаптивной wIPS для 3000 ТД в Monitor Mode

Поддержка Context Aware для отслеживания до 2000 устройств

Поддержка Context Aware для отслеживания до 18000 устройств

Требует WLC ПО версии 4.2.130 или выше и WCS версии 5.2 или выше.

Требует WLC ПО версии 6.0 или вышеи WCS версии 6.0 или выше.

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 120

• 1. Attack Launched against infrastructure device (‗trusted‘ AP)

• 2. Detected on AP

Communicated via CAPWAP to WLC

• 3. Passed transparently to MSE via NMSP

• 4. Logged into wIPS Database on MSE

Sent to WCS via SNMP trap

• 5. Displayed at WCS

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 121

WIPS Monitor

Mode/CleanAi

r MMAP +

WIPS MM

Local Mode

WIPS Monitor Mode or CleanAir MM

+ WIPS MM on CleanAir AP:

Recommendation – Ratio of

1:5 MMAP to Local Mode APs

Option A Option B

Turn on ELM on all APs

(including CleanAir)

Enhanced

Local Mode

Руководства по внедрению

• Management Frame Protection

–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09

186a008080dc8c.shtml

• Wired/Wireless IDS Integration

–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09

186a00807360fc.shtml

• Adaptive wIPS Deployment Guide

–http://www.cisco.com/en/US/docs/wireless/technology/wips/deployment/guide/wipsde

p.html

Выводы

124

Невзламываемая сеть – возможно ли?

• Максимальный уровень безопасности– Аутентификация EAP-TLS + смарт-карты (eToken)

– Принудительное отключение автоматического выбора профиля на клиентских устройствах

– Проверка серверных сертификатов

– Интеграция с проводными IDS

– Адаптивная беспроводная IDS система с возможностью Forensics

• Пример Cisco Systems – 75000 сотрудников– Автоматический выбор профиля, сертификат сервера не

проверяется

– Аутентификация EAP-FAST по логину и паролю

– Шифрование – TKIP с постепенным переходом на AES

126

Выводы

• не используйте уязвимые протоколы

• используйте для защиты корпоративных сетей

технологии корпоративного класса, MFP

• контролируйте радиосреду на предмет наличия DoS атак

– необходима IDS система

• контролируйте настройки (сапликант) на клиентских ПК -

они самое слабое звено

• используйте заложенные в оборудование функции

• отделяйте зерна от плевел оценивая реальность угроз –

о каких то угрозах можно просто забыть

• Посторонние устройства представляют серьезную угрозу

• Возможность провести расследование НЕОБХОДИМА!!!

А что дальше делал хакер? Получилось?

127

Фокус на абонентов

• Автоматизированные средства распространения обновления для

ПО и антивирусоов

• Принудительное использование VPN при работе вне

корпоративной беспроводной стеи

• От уязвимостей нулевого дня невозможно защититься

128

Рекомендованная литература

• Глава 28 УК РФ. Преступления

в сфере компьютерной

информации

Статья 272 УК РФ.

Неправомерный доступ к

компьютерной информации

Статья 273 УК РФ. Создание,

использование и

распространение вредоносных

программ для ЭВМ

Статья 274 УК РФ. Нарушение

правил эксплуатации ЭВМ,

системы ЭВМ или их сети

Спасибо!Просим Вас оценить эту лекцию.Ваше мнение очень важно для нас.

WEB аутентификация

“…. Человека по одежке встречают”

-Народная мудрость

131

Атаки против Webauth

• Используются в хотспотах или гостевых сетях

• Основываются на Web аутентификации поверх открытой L2сети

132

Атаки Webauth

• Открытые сети означают отсутствие защиты на канальном уровне

– Нет шифрования или аутентификации!

• Легко запустить атаку L2 и взломать соединения

• MAC spoofing чрезвычайно просто реализуем

133

Атаки Webauth

• Атака просто реализуется отсоединением клиента или использованием его адреса во время его неактивности

• 802.11 практически не позволяет предотвратить MAC spoofing, если не включить шифрование/аутентификацию на L2 (WPA, WPA2)

• Предотвращение: PSK + Webauth

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 134

User-Based Policy and

Device Identification

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 135135

ISE• Dynamic Policy

• Device Profiling

ACS • Static Policy

• Cisco ACS (or other RADIUS server which can provide Vendor Specific Attributes) can provide static user-based policy which is assigned upon initial authentication.

• Cisco Identity Services Engine can provide dynamic user-based policy which can be assigned upon initial authentication and changed during a session using CoA (Change of Authorization).

Cisco User-Based Policy Offering

WLC

User Specific Attributes

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 136136

Cisco User-Based Policy Solution with ACS

ACS* • Static Policy

WLC

User Specific Attributes

Employee

VLAN

Contractor

VLANACLs

• Employee VLAN

• Gold QoS

Employees

• Contractor VLAN

• No QoS

• Restrictive ACL

Contractors

*This could also be any RADIUS server that supports VSAs.

Employee

Contractor

Employee

User

Specific Attributes

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 137137

Cisco ACS User Policy Steps

Phase 1 User Authentication

EAP

Allowed

User?

Allowed

Access

Phase 2 User Policy

• SilverQoS

• Allow-AllACL

• EmployeeVLAN

WLCLimited

Access

ACS

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 138

Cisco Controller User-Based Policy

Attributes

Network Access

• “Airespace-Interface-Name”

• Sets the Interface to which the client is connected.

Network Restrictions

• “Airespace-ACL-Name”

• Sets the Access Control List used to filter traffic to/from the client.

Quality of Service

• “Airespace-QOS-Level”

• Sets the maximum QoS queue level available for use by the client (Bronze, Silver, Gold or Platinum).

• “Airespace-802.1p-Tag” and/or “Airespace-DSCP-Tag”

• Sets the maximum QoS tagging level available for use by the client.

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 139

• ACLs provide L3-L4 policy and can be applied per interface or per user.

• Cisco 5508 and WiSM2 implement line-rate ACLs.

• Upto 64 rules can be configured per ACL.

Cisco Wireless LAN Controller ACLs

Wired

LAN

Implicit Deny All at the End

Inbound

Outbound

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 140

• IT is struggling with:

- Classifying managed vs. unmanaged endpoints

- ID devices that cannot authenticate

- User <-> Device association

• But there barriers:

- Multiple access mediums

- Endpoint certainty

- No automated way to discover new endpoints

Endpoint Access Challenges

PC and Non-PC DevicesU

ser

Lo

cati

on

Tim

e

Devic

e

Att

rib

ute

X

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 141

• New ground up solution

- Multiple sensors – rich profiling

- Complete visibility and tracking

- Holistic (wired + wireless)

- Integrated Authentication,Authorization

- Other services (Guest, Posture, Device Registration)

- Flexible deployment

Endpoint Profiling Solution - Cisco Identity

Services Engine (ISE)

User

Lo

cati

on

Tim

e

Devic

e

Att

rib

ute

X

ISE

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 142

Integrated, Enhanced Device Profiling with

Cisco Identity Services Engine

―iPad Template‖

―Custom Template‖

Visibility for Wired and

Wireless Devices

Simplified ―Device

Category‖ Policy

Create Your Own

Device Templates

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 143

Flexible Service

Deployment

Manage Security

Group Access

System-Wide Monitoring

and Troubleshooting

Policy Extensibility

Powerful Policy Deployments with ISE

Access Rights

Link in Policy Information Points

SGT Public Private

Staff Permit Permit

Guest Permit Deny

Consolidated Data, 3 Click Drill-InKeep Existing Logical Design

Optimize Where Services Run

M&TAll-in-One HA Pair

NAC Server

Simplify Deployment and Admin

Consolidated Services,

SW Packages

ACS

NAC Profiler

NAC Manager

NAC Guest

ISE

Session Directory

Device (and IP/MAC)

Location

User ID AdminConsole

Distributed PDPs

Tracks Active Users and Devices

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 144

User and Device

Specific Attributes

• Employee VLAN

• Gold QoS

Employees

• Employee VLAN

• Gold QoS

• Restrictive ACL

Employee Mobiles

ISE• Device Profiling

• Dynamic Policy

Cisco’s User-Based Policy Solution with ISE

WLC

Employee

VLAN

Contractor

VLAN

• Contractor VLAN

• No QoS

• Restrictive ACL

Contractors

• No Access

Contractor Mobiles

• With the ISE, Cisco wireless can support multiple users and device types on a single SSID.

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 145

Cisco ISE Device Profiling and Policy Steps

Phase 1 Device Authentication

Phase 2 Device Identification

EAP

Allowed

Device?

Allowed

Access

Phase 3 Device Policy

• SilverQoS

• Allow-AllACL

• EmployeeVLAN

WLCLimited

Access

MAC, DHCP, DNS, HTTPISE

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 146

ISE Device Profiling Capabilities

Smart

Phones

Gaming

Consoles

Workstations

Multiple

Rules to Establish

Confidence Level

Minimum

Confidence for a

Match

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 147

• Once the device is profiled, it is stored within the ISE for future associations:

ISE Device Profiling Example - iPad

Is the MAC Address

from Apple?

Does the Hostname

Contain ―iPad‖?

Is the Web Browser

Safari on an iPad?

ISE

Apple iPad

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 148

Cisco ISE Provides Policy for Wired and

Wireless LANs

• Unified wired and wireless policy (ISE) and management (NCS).

NCS

Central Point of Policy for

Wired and Wireless Users

and Endpoints

Centralized Monitoring

of Wired and Wireless

Networking, Users and

Endpoints

ISE

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 149

Client Type and Policy Visibility with NCS

and ISE Integration

Device Identity

from ISE

Integration

Policy

Information

Including

Posture

AAA Override

Parameters

Applied to

Client

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 150

NCS Provides Cross-Linking to ISE Reports

on Profiling