Upload
positive-hack-days
View
3.086
Download
5
Embed Size (px)
DESCRIPTION
Citation preview
1
Безопасность беспроводных ЛВС:
как взломали вашу сеть
и как вы могли этого избежать.
Дмитрий Рыжавский
системный инженер
2
Правила взлома беспроводных ЛВС
• О чем эта презентация? • Немного теории и систематизация атак • Инструментарий – «набор хакера» • Атаки против WPA-Personal • DoS-атаки (отказ в обслуживании) • Уязвимости протокольного уровня • Ошибки имплементации (внедрения) • Рассказ о пропавшем абоненте – защита ноутбуков • Абоненты за пределами офиса • Посторонние устройства (Rogues) • Внеканальные посторонние устройства (Rogues) • Уязвимости WEB-аутентификации • CUWM – правила самообороны
Содержание
3
Вы получите представление…
• об особенностях обеспечения безопасности WiFi сетей
• какие инструменты доступны для защиты
• о том как могут выглядеть реальные атаки
• к каким проблемам может привести некорректное применение
технологий
• Не справочник по криптографии и методам аутентификации
• Не всеобъемлющий справочник
Немного теории
5
Семиуровневая модель
IP
TCP/UDP Шифрование?
Шифрование?
6
Архитектура аутентификации IEEE 802.1X
• Рекомендована IEEE 802.11 Task Group i
• Реализована у Cisco с 12/2000 • Основные положительные качества
– Разнообразные типы аутентификации – EAP-TLS, PEAP, EAP-FAST, LEAP – Централизованное управление
временем жизни ключей, проч. – Генерация индивидуальных сессионных
ключей – Новые алгоритмы шифрования, в т.ч.
AES как альтернатива RC4 – Взаимная аутентификация – Использования аппаратных средств
аутентификации – Централизованный учет доступа
пользователей
Аутентификатор AP
RADIUS Server
Extensible Authenticatio
n Protocol (EAP)
RADIUS
База пользователей
Сервер аутентификации
Клиент Сапликант
Терминология IEEE802.1x
7
Cisco ACS User Policy Steps
Phase 1 User Authentication
EAP
Allowed
User?
Allowed
Access
Phase 2 User Policy
• Silver QoS
• Allow-All ACL
• Employee VLAN
WLC Limited
Access
ACS
8
User and Device
Specific Attributes
• Employee VLAN
• Gold QoS
Employees
• Employee VLAN
• Gold QoS
• Restrictive ACL
Employee Mobiles
ISE • Device Profiling
• Dynamic Policy
Cisco’s User-Based Policy Solution with ISE
WLC
Employee
VLAN
Contractor
VLAN
• Contractor VLAN
• No QoS
• Restrictive ACL
Contractors
• No Access
Contractor Mobiles • With the ISE, Cisco wireless can
support multiple users and device
types on a single SSID.
9
Терминология
Стандарты
защиты WiFi
802.11i – WPA –
WPA2
Аутентификация PSK - 802.1x(EAP)
Шифрование TKIP – WEP – AES-
CCMP
10
5 главных целей злоумышленника:
1. Заблокировать возможность нормальной работы сети
(отказ в обслуживании) - DoS
2. Украсть информацию с клиентских компьютеров
3. Получить доступ к сети как клиент – для этого нужно
украсть учетную запись легитимного пользователя
4. Реализовать атаку Man in the middle, встав на пути
данных между пользователями и информационными
ресурсами
5. Получить возможность пассивно захватывать и
расшифровывать передаваемые данные
11
Классификация атак
• Возможны разные способы классификации
– Пассивные атаки:
– Прослушивание
– Анализ передаваемых данных
– Активные атаки На основе протоколов
– Denial of Service
– Выдать себя за другого Исчерпание ресурсов
– Эскалация прав доступа
• Что такое уязвимость?
– Это недостаток, который дает возможность злоумышленнику
снизить защищенность системы (wikipedia)
• Что такое атака?
– Способ использовать уязвимость
12
Можно ли обнаружить скрытые SSID (non-Broadcast)
• Подождать подключающегося клиента… или организовать DoS
(deauth отключить) чтобы клиент был вынужден
переподключиться вновь
Можно ли их обнаружить? Ведь в beacon их нет…
13
Hidden SSID (non-Broadcast)
• Администраторы по прежнему «скрывают» SSID в качестве
меры безопасности
• Многие клиентские утсройства лучше работают при
широковещаемом SSID
• Сокрытие даже не экономит РЧ ресурс
• Единственный плюс: нет случайных попыток подлючения со
стороны случайных абонентов
• Разве что, может быть полезно при аудите
WPA-Personal aka WPA-PSK
“Бывает ли безопасность
домашней?”
Пример протокольной уязвимости
WPA-Personal
• Разрабатывалася для использования в домохозяйствах и
сетях небольших офисов, не требует наличия сервера
аутентификации
• WPA-PSK использует pass-phrase, длиной от 8 до 63 ASCII
симоволов
• На основе passphrase генерируется ключ длиной 256 бит
16
WPA(2)-PSK
• Позволяет аутентифицировать обе стороны без Radius сервера
• Простое внедрение, используется домохозяйками
• Если ключ стал доступен, требуется поменять его на всех
устройствах в сети
• Как любой алгоритм с «общим ключом», уязвим к атакам со
словарем/подбору
• Множество ключей от 8 до 63 байт
• Если у хакера есть ключ (PSK) + и записана аутентификация
(EAPoL), он может дешифровать записанный трафик!
17
WPA-PSK, механизм работы
18
WPS
• Wireless Protection Services
19
Лабораторная работа №1
• Произвести онлайн подбор WPS PIN
– Создать интерфейс mon0 при помощи airmon-ng
– Оценить обстановку в радиоэфире используя airodump-ng
– Запустить подбор PIN кода при помощи reaver
• airmon-ng – отображается список поддерживаемых интерфейсов
• airmon-ng start wlan0 – создать мониторинговый интерфейс
• airmon-ng – должен появиться еще один интерфейс mon0
• airodump-ng mon0 – осмотреться в эфире
• wash -i mon0 – кто поддерживает WPS
• reaver –I mon0 –b “BSSID” –e “ESSID” –dh –small – онлайн
атака
20
WPA-PSK, рецепт атаки
• Основные компоненты: EAPoL (M1 to M4) + название SSID
• Для 8 символов + чисел: полный подбор, инструмент
www.oxid.itCain: 750 лет
• Для 10 символов + чисел: полный подбор, инструмент Cain tool :
673706 лет
• Слишком долго!!
21
22
WPA-PSK GPU атаки
• Простой рабочий компьютер анализирует 2200 комбинаций
ключей в секунду при атаке полного подбора
• Высокопроизводительная GPU видеоадаптер- 52400
комбинаций
• Это между 2.5 года и 61.5 лет против 750 на том же множестве
ключей
23
280 PMK/S - http://pyrit.wordpress.com/
24
25
WPA-PSK, особенности
• Обыкновенная атака полного подбора не лучшее решение для
ключей длинее 8 символов
• Атаки со словарем реальны, но от них легко защититься
• Существуют способы «оптимизации» просчетов для взлома
PSK
– Инструменты на базе видео процессора (GPU)
– Аналитические гибридные словари (Rainbow Tables)
– Бот-сети
26
Если хочется побыстрее...
27
WPA-PSK Rainbow table атаки
• Rainbow table: используют базы данных хэш-сум для восставновления паролей
• Можно сгенерировать свою: pyrit (с поддержкой GPU )
• Можно скачать: “Church of WiFi” 40 GB для 1000 наиболее популярных имен SSID и 1M возможных паролей, генерируется микросхемой в течении 3 дней
• Открытые инструменты для использования Rainbow table (coWPAtty)
• Если SSID подошло, и пароль в словаре, то востановление пароля занимает секунды.
http://imgs.xkcd.com/comics/security.png
28
WPA-PSK подводя итоги
• Для того, чтобы по настоящему защититься, Вам необходим по
настоящему случайный пароль, более 12 символов
• Использовать генераторы сложных паролей
• Использовать нестандартные SSIDs
• Помнить, что WPA и WPA2 атаки, не зависят от шифрования.
• Если есть PSK, и EAPoL, можно расшифровать весь траффик
для данной сессии
• Если PSK ключ утерян, необходимо его заменить на всех
устройствах: не лучший вариант для корпоративной защиты
• Не использовать WPS и проверять, что он действительно
отключен
• Обновляйте ПО на точках доступа
29
Лабораторная работа №2 - De-authentication attacks
• Деаутентификация:
– Всех клиентов:
• iwconfig mon0 channel 6 – перевод интерфейса на канал
атакуемой AP
• aireplay-ng --deauth 25 –a [BSSID] mon0 – указывается число
деаутентификационных пакетов
– Отдельного клиента:
• aireplay-ng --deauth 25 –a [BSSID] –c [client MAC] mon0
– Всех клиентов: mdk3 [interface] d
• Переполнение таблицы аутентификаций:mdk3 [interface] a -a
[bssid]
30
Лабораторная работа №3
• WPS-PSK захват четырехэтапного захвата ключа
• Рашифровка ключа
– Грубой силой (с использованием сопроцессора)
– По словарю
– При помощи rainbow таблиц
Для выполнение этой лабораторной работы установите
предоставленный инструктором скрипт на ваш дистрибутив BT5 R2,
запустите его и следуйте инструкциям.
Набор инструментов
“Готовь сани летом, а телегу –
зимой.”
-русская народная поговорка
32
Инструментарий – борьба за расстояние
Как далеко находится хакер?
100 метров…. 200 метров .....1000 метров…..?
парковка, соседнее здание, кафе этажом ниже….
Ubiquity SWX-SRC
300mW
33
ALFA USB WiFi AWUS036H
Поддерживается в BackTrack 5 Linux, Ubuntu
Доступны драйверы для OSX 10.4, 5, 6, 7* и Windows 98, 2000, XP, Vista and 7.
•Adapter with standard RP-SMA antenna connector
•High gain 5dBi Antenna
•Micro USB Cable
•Best of WiFi DVD
Supports 802.11 b/g, 2.4-2.487 GHz channels 1-14, Managed and Monitor modes
and 1000mW txpower.
$34.99
34
Инструментарий – борьба за расстояние
адаптеры Ubiquiti Networks http://ubnt.com
антенны Cushcraft http://www.lairdtech.com
кабели и переходники www.digikey.com
Yagi-антенна 14dB антенные переходники и адаптеры
магнитная антенна на крышу авто
8dB
антенна 18dB
Пр
им
ер
ы:
35
Мобильность
36
BackTrack 5 R2 Released! Mar 1st, 2012
http://www.backtrack-linux.org/
37
• airbase-ng -
• aircrack-ng -
• airdecap-ng -
• airdecloak-ng -
• airdriver-ng -
• airdrop-ng -
• aireplay-ng -
• airgraph-ng -
• airmon-ng -
• airodump-ng -
• airolib-ng -
• airserv-ng -
• airtun-ng -
• easside-ng -
• packetforge-ng -
• tkiptun-ng -
• wesside-ng -
http://www.aircrack-ng.org/doku.php
Домашнее задание
38
Cain & Abel v4.9.43 released 03/12/2011
http://www.oxid.it/
AirMagnet Confidential 39
Airmagnet WiFi Analyzer
Quickly understand any Wi-Fi problem Automatic analysis of hundreds of problems
Mobile software goes where the problem is
AirWISE® Engine provides diagnosis, recommendation
Hands-on education and guidance
WLAN security Ensure every device complies with security policies
Detect intrusions and vulnerabilities
Expert performance analysis Interference analysis
Investigate any device, channel or traffic
Complete set of active tools to identify, resolve Wi-Fi issues
Отказ в обслуживании
41
DoS Атаки
• Исчерпание ресурсов – “Всегда можно отправить чрезмерное количество чего-то”
• На основе протокольных уязвимостей – “Ping Death” – Могут быть проблемами определенных устройств или протоколов
• И еще много потенциала в беспроводной среде для DoS атак: – TKIP MIC, Auth flood, Assoc flood, Deauth, NAV, RF Jamming, etc
– Необходимо оборудование, которое умеет фиксировать и, оптимально,
предотвращать. Cisco?
42
DoS – генерация помех
• Легко реализовать, легко обнаружить, невозможно
предотвратить
43
DoS TKIP MIC
• Пример атаки на базе протокольной уязвимости
• MIC используется для защиты целостности данных
• Если обнаружены 2 ошибки группового ключа, ТД начинает включать предотвращающий алгоритм на 60 секунд для данной SSID
• Уязвимость MIC используется как часть TKIP injection атак (Beck-Tews, Halvorsen, Ohigashi-Morii)
• Эффект: можно за-DoS-ить любую TKIP сеть
–
44
DoS TKIP MIC, рецепт атаки
Что нам понадобиться?
Инструмент атаки: mdk3 (поддерживает различные технологии DoS)
45
DoS TKIP MIC, можно ли обнаружить атаку?
• Да, ошибки MIC контролируются – show trapl
– Number of Traps Since Last Reset ............ 427
– Number of Traps Since Log Last Displayed .... 2
– Log System Time Trap
– --- ------------------------ -------------------------------------------------
– 1 Mon May 3 15:26:11 2010 WPA MIC Error counter measure activated on Radio
– with MAC 00:1c:b0:ea:63:00 and Slot ID 0. Station
– MAC Address is 00:40:96:b5:11:19 and WLAN ID is 6
• Можно отключить алгоритм востановления -> последствия: больше уязвимостей для атак подмены
• Могут присутствовать случайные ошибки • Оптимальное решение для защиты: использовать
WPA2+AES
46
DoS 802.11 floods
• Трафик управления (сигнализация) 802.11 может быть подменен, т.к. не защищается
• Flood приводит к исчерпанию ресурсов: • Тысячи источников пытаются подключиться к одной ТД • Память зарезервирована, association ID использовано,
использование CPU высокое, etc
• Нет простого решения: • Ограничение скорости обмена информации на ТД • Client MFP единственный ограничивающий фактор
• Эффект ограничен: временная потеря сервиса
47
DoS в 802.11
• Как защититься:
– WLC, 12.4(21a)JY имеет алгоритм предотвращения DoS auth
• Детектирование – оптимальный вариант
• Flood отображаются со стандартными сигнатурами WLC
• Атаки на базе протоколов типа подмены NAV легко детектируются
• WCS карты могут указать местоположение
• MFP может обнаружить инперсонализированные ТД
• Правила обнаружения посторонних устройств быстро обнаружат посторонние ТД
48
Функция MFP и ее преимущества
• Обнаружение атак: посторонние AP, man-in-the-middle и другие
атаки с манипуляцией управляющими кадрами
– Повышает надежность обнаружения AP и WLAN IDS signature
detection
• Предотвращение атак: будет поддерживаться на абонентах с
функцией проверки ЭЦП (CCXv5 clients)
• Инновации Cisco для обеспечения безопансоти
• Стандарт в разработке—IEEE 802.11w
CCX: http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_concept_home.html
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public TECEWN-2020 49
Management Frame Protection Concept
Wireless management frames are not authenticated, encrypted, or signed
A common vector for exploits
Insert a signature (Message Integrity Code/MIC) into the management frames
Clients and APs use MIC to validate authenticity of management frame
APs can instantly identify rogue/exploited management frames
Infrastructure MFP Protected
Client MFP Protected
AP Beacons Probe Requests/ Probe Responses
Associations/Re-associations Disassociations
Authentications/ De-authentications
Action Management Frames
Problem Solution
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public TECEWN-2020 50
Infrastructure MFP
infrastructure MFP is enabled/disabled on the WLC
1 key for every AP / WLAN
can be selectively disabled per WLAN, and validation can be selectively disabled per AP.
can be disabled on the WLANs that are used by devices that cannot cope with extra IEs.
Validation must be disabled on APs that are overloaded or overpowered
MIC is added at end of Mngt Frame (before FCS)
Рассказ об украденном абоненте
52
Самое слабое звено – клиентские устройства
Корпоративная сеть
• Беззащитные ноутбуки У злоумышленника больше всего
шансов на успех в случае организации атаки против клиентских устрйств
Internet
4. Man in the middle!!!
53
Что это?
54
Intel ProSet
55
Cisco Secure Services Client
56
Пользователи…….!!!!!!!!
57
WiFi Pineapple
Mark III puts Karma, URL Snarf, DNS
Spoof, ngrep, deauth via Aircrack-NG and
much more at the click of the link. Internet
Connection Sharing has also been greatly
simplified with the Mark III acting as DHCP
server for connecting clients. Phishing
attacks are also built-in with the DNS
Spoofing capabilities -- all configurable
from the PHP-driven web interface.
http://hakshop.myshopify.com
58
Social Engineer Toolkit (SET)
http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29
59
Karmetasploit is a new implementation of Dino Dai Zovi's original and excellent tool KARMA.
"KARMA is a set of tools for assessing the security of wireless clients at multiple layers.
Wireless sniffing tools discover clients and their preferred/trusted networks by passively
listening for 802.11 Probe Request frames. From there, individual clients can be targeted by
creating a Rogue AP for one of their probed networks (which they may join automatically) or
using a custom driver that responds to probes and association requests for any
SSID. Higher-level fake services can then capture credentials or exploit client-side
vulnerabilities on the host." -http://theta44.org
The main differences between Karma and Karmetasploit it that is Karmetasploit does not
have the limitation of only working on hardware configured with the patched Mad-wifi drivers,
and it also comes with the powerful exploit framework that is metasploit.
60
Лабораторная работа N4
AP-less WPA-Personal cracking
61
AnyConnect 3.0 Основные особенности
• Усовершенствованный пользовательский интерфейс
• Большой набор протоколов
–IPsec IKE v2 (+ SSL and DTLS)
• Унификация 4 Cisc-клиентов
• Расширенная безопасность и мобильность
–Интегрированный 802.1x саппликант (L2 supplicant)
–Integrated posture assessment (HostScan)
–Wired network identity/security (802.1x and MACsec)
–Support for ScanSafe cloud security
–Endpoint telemetry feeds
Беспалтно вместе с Cisco APs
FREE!!!
За стенами офиса...
“Маленькие дети! Ни за что на свете
Не ходите в Африку, В Африку
гулять!”
-Корней Чуковский
63
На охоту за сотрудниками
Алгоритм действий:
1. Хакер узнает MAC адрес
компьютера сотрудника
2. По user id можно узнать
имя
3. База данных «прописка» –
информация об адресе
4. Подкараулить возле дома
64
Wi-Fi Positioning System
• Позволяет узнать местоположение
маршрутизатора или точки доступа по его
MAC адресу (BSSID)
• Провайдеры
– Skyhook Wireless, доступен SDK
– Apple –iPhone/iPad до версии ПО 3.2 в
апреле 2010 использовал Skyhook
• Как можно использовать?
www.eye.fi
65
Application of
Borderless Network
services and policies
Extends Borderless Network services
from the core to the home
OfficeExtends
600 AP
WiSM2 / 5500
Controller
Home
modem / router
Corporate
Network
Industry Standard CAPWAP Encryption using DTLS No Impact to controllers | Line rate support for broadband connections
Segments and Supports
Home Network Activities
66
Client Shun
Интеграция с сетевыми IPS Cisco
• Анализирует клиентский трафик на предмет вредоносной активности и блокирует подключение абонента
• Глубокий анализ трафика на 3-7 уровнях OSI
• Снижает риск проникнофения «инфекций» от беспроводных абонентов
• Защита нулевого дня от вирусов, вредоносного ПО и подозрительных действий
• IPS блокирует IP aдрес, WLC – MAC адрес
Сеть предприятия
Cisco ASA 5500 Series w/ IPS
L2 IDS
Вредоносный трафик
Предотвратить неправомерное
использование и вредоносную активность
со стороны абонентов WLAN
Задача
L3-7 IDS
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example0
9186a00807360fc.shtml#ov2
Протокольные уязвимости
68
Атаки против протокола EAP
• Что такое EAP? – Extensible Authentication Protocol, RFC 3748
– Архитектура аутентикации на канальном уровне
– Часто используется совместно с протоклами PPP или 802.1x
• Какие протоколы работают поверх EAP? -> множество… – EAP-MD5: разработка IETF, минимальная безопасность
– LEAP: разработка Cisco, устаревший и уязвимый
– EAP-TLS: RFC 5126, базируется на PKI, защищенный, сложный
– PEAP: общая разработка, поддерживается большинством, много внутренних методов
– EAP-Fast: базируется на TLS, эволюция LEAP/PEAP, направлен на более простое внедрение
– И много других: EAP-IKE, EAP-AKA, EAP-TTLS, EAP-SIM, etc, etc…
69
EAP Protocols: особенности
EAP-TLS
PEAP LEAP EAP-FAST
Vulnerable to Off-Line Dictionary Attacks
No No Yes1 No
Fast Secure Roaming (CCKM) Yes Yes Yes Yes
Local WLC Authentication Yes Yes Yes Yes
Server Certificates Yes Yes No No
Client Certificates Yes No No No
Deployment Complexity High Medium Low Low
RADIUS Server Scalability Impact
High High Low Low/
Medium
1Strong Password Policy Recommended. Please Refer to:
http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_bulletin09186a00801cc901.html
Односторонняя
аутентификация в EAP-TLS
“…. Человека по одежке встречают”
Пример некорректного использования
технологии
71
EAP-TLS – очень надежен, но если
использовать некорректно…
EAP-TLS защищенный алгоритм аутентификации
– Позволяет двусторонний процесс аутентификации между сапликантом и сервером аутентификации
– Поддерживается практически всеми производителями беспроводных решений и клиентов
– Существуют трудности при внедрении: использование PKI трудоемко, процедура автообновления сертификатов может быть сложна для реализации в ряде случаев
– Активная поддержка двухфакторных систем (смарткарты, токены, и т.п.)
– Должным образом защищено: так как же сломать?
– Если правила доверия некорректно настроенны.
72
EAP-TLS – защищен, но можно взломать…
EAP-TLS требует 2 сертификата
1. Сервера: идентифицирует аутентикатора, и позволяет
клиенту понять к кому он подключается…
2. Клиента: идентифицирует клиента для проверки
аутентикатором (ТД/WLC, пр)
Типичная проблема: вместо покупки сертификатов у сторонних
служб или разверывания собственной службы CA, клиентские
устройства настраиваются «не проверять сертификат
сервера»(“do not validate”)
73
EAP-TLS – защищен, но можно взломать…
ProSet
ADU
74
Рецепт атаки на EAP-TLS
• Необходимые ингридиенты:
– Сервер аутнетификации который умеет игнорировать
сертифкат клиента
– Пример: Cisco WLC с соответсвующими настройками, или
FreeRadius www.freeradius.org
– Жертва
– Механизм чтобы вынудить клиента выбрать “свою” точку
доступа для подключения
75
Рецепт атаки на EAP-TLS
• Пример настройки контроллера – игнорируем все возможные параметры – (Cisco Controller) >show local-auth config
– User credentials database search order:
– Primary ..................................... Local DB
– Timer:
– Active timeout .............................. 300
– Configured EAP profiles:
– Name ........................................ cisco
– Certificate issuer ........................ vendor
– Peer verification options:
– Check against CA certificates ........... Disabled
– Verify certificate CN identity .......... Disabled
– Check certificate date validity ......... Disabled
– EAP-FAST configuration:
– Local certificate required .............. No
– Client certificate required ............. No
– Enabled methods ........................... tls
– Configured on WLANs ....................... 1
76
FreeRADIUS WPE
• FreeRADIUS - Wireless Pwnage
Edition
Патч к FreeRADIUS для Linux
http://www.willhackforsushi.com/FreeRADIUS_WPE.html
77
78
EAP-TLS, методы борьбы
• Политики на Adaptive WIPS позволяют
обнаруживать «фальшивые» точки доступа
• Функционал MFP предупредит о
переиспользовании BSSID
• Встроенная в контроллеры IDS определяет это
как злонамеренную атаку
• Используйте серверные сертификаты!!!
79
Лабораторная работа №5
Атака на PEAP и EAP-TTLS:
В случае если на клиентской стороне не верифицируется используемый
RADIUS сервером сертификат, данного клиента возможно обмануть
предоставив ему фальшивую точку доступа:
1. Атакующий производит настройку AP с идентичным SSIDс более сильным
сигналом, чтобы перебить оригинальную точку доступа и
перенаправитьподключающихся клиентов на себя.
2. При подключении клиента к фальшивой APпроисходит переброс
сообщения клиента на RADIUSсервер атакующего с определением
внутреннего протокола аутентификации клиента, а также происходит
завершение TLSтуннеля. При этом происходит захват хэша пароля
клиента для последющей словарной атаки или атаки грубой силой.
Для выполнение этой лабораторной работы установите предоставленный
инструктором скрипт на ваш дистрибутив BT5 R2, запустите его и следуйте
инструкциям. Будет создана программная точка доступа, при подключении к
которой соотвествующего абонента будет захвачен хэш пароля.
Cisco LEAP
Устаревший метод EAP
81
LEAP
• Поддерживал возможность динамической смены ключа WEP.
• Активно используется для беспроводного, не проводного
разворачивания 802.1x.
• Легко настраиваемый – отсюда название Lightweight EAP.
• Мог быть легко добавлен в беспроводный адаптер, позволяя на
аппаратном уровне реализовать аутентификацию.
82
LEAP, рецепт атаки
• Восстановление тривиальных паролей
• Необходимые компоненты:
– Перехват обмена аутентификацией
– Быть терпеливым
• Основные доступные инструменты:
– Asleap (linux, windows port)
http://www.willhackforsushi.com/Asleap.html
– THC-leapcracker
http://freeworld.thc.org/releases.php?q=leap&x=0&y=0
83
LEAP – Шаг 1
• Asleap: Использует просчет хэш на основе словаря
• THC-leapcracker: полный перебор (brute force)
• По словарю быстрее, но результат зависит от качества словаря
• Полный перебор: медленно, но позволяет подобрать любой
вариант
84
LEAP – Можно ли обнаружить атаку?
• Нет, если атакующий терпелив
• Да, если атакующий использует атаку Deauth (DoS)
• Лучшее предотвращение: не использовать LEAP
Уязвимость 196
“…. Человека по одежке встречают”
Пример протокольной уязвимости
86
Архитектура стандартов
Pairwise Transient Key (PTK)
- Свой у каждого абонента
- Защищает юникаст трафик
Group Temporal Key (GTK)
- Общий на всех клиентах АР
- Защищает броадкаст и
мультикаст трафик
87
Самое слабое звено – клиентские устройства
Проводной сегмент
Я gateway
зашифровано GTK
2
1
Данные
жертвы в сеть
3
Данные
жертвы в сеть 4
gateway
88
Рецепт
Что можно получить: возможность для Man In The Middle в условиях невидимости для проводного IDS
Какие протоколы подвежены: 802.1x, WPA-PSK WPA2-PSK,
все!!!
Что нужно для осуществления:
•быть легитимным клиентом сети
•узнать GTK – wpa_supplicant (0.7.0) http://hostap.epitest.fi
•послать в эфир фальшивый ARP ответ - Madwifi (0.9.4) http://madwifi.org/
Методы защиты:
•Wireless IPS – узнать вовремя
•peer-to-peer blocking mode, функция контроллера - предотвратить
Обнаружение, локализация и
подавление посторонних
устройств.
Беспроводная сеть двойного назначения
Какие бывают посторонние WiFi устройства?
• Точки доступа
• Домашние маршрутизаторы
• Ноутбуки
• Смартфоны и планшеты
• Принтеры – ad-hoc режим работы
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public TECEWN-2020 91
Принтер – плацдарм для атаки
Уязвимости ОС и пароли по
умолчанию могут дать
возможность хакеру настроить
встроенный Linux в режим
маршрутизатора
92
Если немного пофантазировать...
• Подарок в виде флэшки, мышки, клавиатуры…
• Пример – USB Rubber Ducky
– http://hakshop.myshopify.com/
93
Три этапа работы с посторонними устройствами
Поиск
• Прослушивание эфира для обнаружения посторонних точек доступа, клиентов и одноранговых устройств
Описание
• Классификация на основе RSSI, SSID, наличия клиентов и т.д.
• Проверка на наличие подключения к проводной инфраструктуре
• Определение порта – Switch Port Tracing
Борьба
• Отключение портов на коммутаторах
• Определение местоположения
• Блокировка радиопередачи информации
94
Особенности для 802.11n
• Детектируется 11a/g устройствами
• Наиболее распространенный режим для 11n АР
• Обеспечивает совместимость с 802.11a/g устройствами благодаря использованию 11a/g модуляции для management и control фреймов.
802.11n - Mixed Mode
• Определяется только 802.11n устройствами
• В этом случае, management, control и data фреймы передаются с использованием 11n методов модуляции
802.11n – Greenfield Mode
Поиск
95
Rogue Detector AP «на проводе»
Обнаруживает все ARP пакеты, в т.ч. Посторонних устройств
Контроллер получает от АР-детектора список MAC-адресов из ARP пакетов
Не работает с маршрутизаторами и NAT APs
АР в режиме Rogue Detector
Принцип работы
Rogue AP Authorized AP
L2 коммутируемая сеть
Trunk Port
Rogue Detector
Client ARP
Classify
96
Rogue Location Discovery Protocol
Принцип работы
Rogue AP Managed AP
RLDP (Rogue Location Discovery Protocol)
Подкючаемся к посторонней AP как клиент
Отправляем IP пакет на собственный IP адрес
Работает только если не включено шифрование
Controller
Routed/Switched Network Send Packet
to WLC
Connect as
Client
Classify
97
Трассировка порта коммутатора Switchport Tracing
Принцип работы
Rogue AP Managed AP
WCS Switchport Tracing
Определяем по CDP коммутатор, к которому подключена наша AP, обнаружившая угрозу
Получение с коммутаторов CAM таблиц и поиск соответствующего MAC адреса
Может использоваться при наличии шифрования и использовании NAT
CAM Table
2
WCS
CAM Table
3
Show CDP Neighbors
1
Match Found
Classify
WCS Switchport Tracing Как работает
Tracing выполняется по
запросу по каждому ПУ
Switch port tracing started for rogue AP 00:09:5B:9C:87:68
Rogue AP 00:09:5B:9C:87:68 vendor is Netgear
Following MAC addresses will be searched:
00:09:5B:9C:87:68, 00:09:5B:9C:87:67, 00:09:5B:9C:87:69
Following rogue client MAC addresses will be searched:
00:21:5D:AC:D8:98
Following vendor OUIs will be searched:
00:0F:B5, 00:22:3F, 00:1F:33, 00:18:4D, 00:14:6C, 00:09:5B
Rogue AP 00:09:5B:9C:87:68 was reported by following APs: 1140-1
Reporting AP 1140-1 is connected to switch 172.20.226.193
Following are the Ethernet switches found at hop 0: 172.20.226.193
Started tracing the Ethernet switch 172.20.226.193 found at hop 0
Tracing is in progress for Ethernet switch 172.20.226.193
MAC entry 00:09:5B:9C:87:69 (MAC address +1/-1) found.
Ethernet Switch: 172.20.226.193, VLAN: 113, Port: GigabitEthernet1/0/33
Finished tracing all the Ethernet switches at hop 0
WCS
Classify
99
Cisco Rogue Management Diagram
Доступные методы
Ядро сети
Распределение
Доступ
SiSi
SiSi
SiSi
Rogue
AP
Rogue
AP
Wireless Control System (WCS)
Wireless LAN
Controller
Rogue Detector
RRM Scanning
Rogue
AP
RLDP
Authorized
AP
Switchport Tracing
100
Методы детектирования проводного
подключения Сравнение
Open APs
Secured APs
NAT APs
Switchport Tracing
Средняя
RLDP
Rogue Detector
1. AP определяет постороннее устройство в эфире
2. АР сообщает IP ближайшего коммутатора
3. Трассировка начинается с ближайших коммутаторов
4. Администратор отключает порт
Алгоритм работы Определение… Надежность
Open APs
NAT APs
100% 1. AP определяет постороннее устройство в эфире
2. АР подлючается в качестве клиента
3. При успешном подлючении отправляется RLDP пакет
4. При получении на WLCRLDP пакета делается соотвествующий вывод
Высокая 1. Подключение detector AP к транковому порту коммутатора
2. АР-детектор получает все посторонние MAC от WLC
3. АР-детектор сопоставляет посторонние MACs с ARP сообщениями
Open APs
Secured APs
NAT APs
Classify
Определение местоположения ПУ По запросу при помощи WCS
• Позволяет определить местоположение отдельных ПУ по запросу
• Не сохраняет историю измения координат ПУ
• Не определяет местоположение клиентов ПУ
Mitigate
WCS
102
Локализация посторонних устройств
при помощи WCS и MSE
• Единовременная локализация множества посторонних устройств
• Сохранение истории перемещений
• Локализация посторонних клиентских устройств
• Локализация одноранговых клиентских устройств
WCS
Борьба
103
Подавление посторонних устройств
Принцип работы
Rogue AP
Authorized AP
Подавление посторонней AP
Отправка De-Authentication фреймов посторонним клиентам и АР
Могут использоваться local, monitor mode или H-REAP AP
Может оказывать негативное влияние на производительность
Mitigate
Rogue Client
De-Auth Packets
Борьба
Правила классификации ПУ Принцип
Низкий уровень Высокий уровень
Вне сети Защищенный SSID Неизвестный SSID
Слабый RSSI Удаленное расположение
Нет клиентов
Внутри сети Открытый SSID
«Наш» SSID Сильный RSSI
На территории КЛВС Привлекает клиентов
Классификация основана на степени опасности угрозы и действиях по обезвреживанию
Правила классификации соотносятся с моделью рисков заказчика
Classify
Обнаружено ПУ
Rogue Rule: SSID: tmobile RSSI: -80dBm
Помечается как Friendly
Rogue Rule: SSID: Corporate RSSI: -70dBm
Помечается как Malicious
ПУ не удовлетворяет установленным
правилам
Помечается как Unclassified
Правила классификации ПУ Пример
Правила хранятся и выполняются на радио-контроллере
Classify
106
Автоматическое подавление Борьба
Изоляция посторонних устройств Как работает
Mitigate
WCS
WLC
00:09:5b:9c:87:68
От 1 до 4 ТД могут
быть использованы
для проведения
изоляции
Mitigate
Изоляция посторонних устройств Методы изоляции посторонних ТД
Mitigate
Только ПУ
Сценарий Метод изоляции
ПУ и их клиенты
Broadcast и Unicast Deauth кадры
Только Broadcast Deauth кадры
Mitigate
Изоляция ПУ Как работает
• Каждые 100мс отсылаются минимум 2 de-auth пакета (20 пакетов в
секунду)
~100мс
ТД в режиме local mode может осуществлять изоляцию до 3-х ПУ на 1 радиоинтерфейс
ТД в режиме monitor mode может осуществлять изоляцию до 6-ти ПУ на 1 радиоинтерфейс
Local Mode
Monitor Mode
6
3
Mitigate
Внеканальные посторонние
устройства
“…. Человека по одежке встречают”
-Народная мудрость
111
113
Атаки при помощи внеканальных посторонних
устройств
• Некоторые Open Source прошивки и драйверы позволяет
очень точно настраивать частоты:
– MadWiFi (http://madwifi-project.org/)–open source
драйверы для микросхем Atheros где доступен hardware
abstraction layer, что позволяет настроить частоту
передачи.
• Проблема – постороннее устройство, передающее не на
стандртном канале (например между 36 и 40) не может
быть обнаружено стандартными мерами.
114
WiFi Channel 40 Off-Channel Rogue WiFi Channel 36
Как выглядит внеканальный передатчик?
• Несущяя частота посторонней АР настроена на
нестандартынй для WiFi канал.
Center Frequency:
5.180GHz Center Frequency:
5.200GHz
Center Frequency:
5.189GHz
115
CleanAir позволяет обнаруживать внеканальные
передатчики
Cisco CleanAir дает возможность обнаруживать
и определять местоположение любых устройств
на любых частотах.
Предоставляется информация о
местоположении и пострадавших каналах.
Wi-Fi и контроль за состоянием РЧ–спектра.
Почему микропроцессорная обработка важна?
• Обычный Wi-Fi чип это по сути процессор-МОДЕМ
• Он знает 2 вещи:
– ВЧ-сигнал, который можно демодулировать = Wi-Fi
– Набор ВЧ-сигналов, который нельзя демодулировать = Шум
• Структура шума сложна –
– Коллизии, фрагменты, повреждения
– Wi-Fi –сигнал ниже порога чувствительности приемника
• Пики Wi-Fi активности могут вызвать все вышеназванные
«эффекты»
Высокое спектральное разрешение – ключ к
точному анализу спектра
Обычный Wi-Fi чипсет
Спектр. сетка с 5 MHz шагом
Cisco CleanAir Wi-Fi чипсет
Спектральная сетка с шагом от 78 to 156 KHz
‘Восприятие’ чипсетом куска спектра с интерференцией микроволновки и
bluetooth
Microwave oven
BlueTooth
Microwave oven
BlueTooth
Pow
er
Pow
er
?
ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с
высоким разрешением интегрированный в точку доступа
Cisco Unified Wireless Network –
архитектура и принципы
работы механизмов
обеспечения безопасности
Отличия адаптивной wIPS от базовой IDS
радио-контроллера
• Меньше ложных сигналов тревоги
Корреляция сигналов тревоги
• Только 17 в базовой IDS контроллера
Число атак
• Захват пакетов атаки Расследования
(Forensics)
• Больше глубина архива и обнаружение аномалий
Историческая отчетность
WCS WCS
ТД
WLC ТД
WLC
Адаптивная wIPS Отличие #1 Аггрегация и корреляция сигналов тревоги
MSE
Адаптивная wIPS Базовая IDS контроллера
• Нет корреляции сигналов
тревоги
Адаптивная wIPS Отличие #2 Обнаруживается большее количество типов атак
Адаптивная wIPS Базовая IDS контроллера
• Только 17 сигнатур
Адаптивная wIPS Отличие #3 «Захват» пакетов для проведения расследования
Адаптивная wIPS Отличие #3 «Захват» пакетов для проведения расследования
Адаптивная wIPS Отличие #4 Историческая отчетность
• Информация о сигналах тревоги хранится в базе данных
(БД) MSE
– Максимум 6 миллионов сигналов тревоги может храниться в
базе данных MSE
• WCS посылает запросы в БД MSE во время создания отчета
• Отчеты создаются и просматриваются в WCS
Сканирование радиоэфира в поисках
посторонних устройств Два различных режима ТД для РЧ-сканирования
ТД в режиме Local Mode
• Обслуживание клиентов с переключением на другие каналы для сканирования
• Каждый канал прослушивается в течение 50мс
• В режиме сканирования можно настроить:
• Все каналы
• Каналы данного регуляторного домена (настройка по умолчанию)
• DCA-каналы
ТД в режиме Monitor Mode
• Предназначена для сканирования
• Прослушивает каждый канал в течение 1.2сек
• Сканируются все каналы
Алгоритмы обнаружения посторонних устройств
• Любая ТД, которая имеет неизвестные значения RF Group name или mobility group, считается посторонним устройством
• Автономные ТД, управляемые с WCS, автоматически заносятся в «белый» список
Detect
РЧ-алгоритм сканирования каналов точка доступа в режиме Local Mode
1 2 1 3 1 4 1 5 1 6
36 40 36 44 36 48 36 52 36 56
1
36 60
16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с
14.5с 50мс
7 1
36 64 36 149
50мс 16с
ТД на канале 1 - 802.11 b/g/n – Разрешенные в США каналы
ТД на канале 36 - 802.11 a/n – Разрешенные в США каналы (без UNII-2 Extended)
10мс 10мс
с
14.5с 50мс 50мс 50мс 50мс 50мс 50мс 50мс 14.5с 14.5с 14.5с 14.5с 14.5с 14.5с
10мс 10мс
…
…
Каждые 16с новый канал сканируется в течение 50мс
Каждые 14.5с, новый канал сканируется в течение 50мс
Detect
РЧ-алгоритм сканирования каналов точка доступа в режиме Monitor Mode
1 2 3 4 5 6
36 40 44 48 52 56 60 64 100 104 108 112
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
1.2с 1.2с
7
116 132 136 140
1.2с
802.11b/g/n – Все каналы
802.11a/n – Все каналы
10мс 10мс
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
10мс 10мс
9 10 11 8 12 …
…
1.2с
Detect
Адаптивная wIPS Компоненты и функции
Мониторинг, Отчетность
Over-the-Air Обнаруж.
Управление wIPS ТД
Комплексн. Анализ атак, Криминалистика, Событий
ТД Обнаруж.
атаки 24x7 скан
WLC Настройка
MSE Архив.
сигналов тревоги
Хранение
«захват»-пакетов
WCS Централиз.
мониторинг
Историч.
отчетность
Mobility Services Engine Поддержка сервисов Cisco Motion
• Сервисы мобильности могут иметь другие требования к ПО
WLC/WCS
• Адаптивная wIPS лицензируется по количеству ТД в wIPS
monitor mode
3310 Mobility Services Engine 3355 Mobility Services Engine
Поддержка адаптивной wIPS для 2000 ТД в Monitor Mode
Поддержка адаптивной wIPS для 3000 ТД в Monitor Mode
Поддержка Context Aware для отслеживания до 2000 устройств
Поддержка Context Aware для отслеживания до 18000 устройств
Требует WLC ПО версии 4.2.130 или выше и WCS версии 5.2 или выше.
Требует WLC ПО версии 6.0 или выше и WCS версии 6.0 или выше.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 130
• 1. Attack Launched against infrastructure device (‘trusted’ AP)
• 2. Detected on AP
Communicated via CAPWAP to WLC
• 3. Passed transparently to MSE via NMSP
• 4. Logged into wIPS Database on MSE
Sent to WCS via SNMP trap
• 5. Displayed at WCS
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 131
WIPS Monitor
Mode/CleanAi
r MMAP +
WIPS MM
Local Mode
WIPS Monitor Mode or CleanAir MM
+ WIPS MM on CleanAir AP:
Recommendation – Ratio of
1:5 MMAP to Local Mode APs
Option A Option B
Turn on ELM on all APs
(including CleanAir)
Enhanced
Local Mode
Руководства по внедрению
• Management Frame Protection
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a008080dc8c.shtml
• Wired/Wireless IDS Integration
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a00807360fc.shtml
• Adaptive wIPS Deployment Guide
–http://www.cisco.com/en/US/docs/wireless/technology/wips/deployment/guide/wipsde
p.html
Выводы
134
Невзламываемая сеть – возможно ли?
• Максимальный уровень безопасности – Аутентификация EAP-TLS + смарт-карты (eToken)
– Принудительное отключение автоматического выбора профиля на клиентских устройствах
– Проверка серверных сертификатов
– Интеграция с проводными IDS
– Адаптивная беспроводная IDS система с возможностью Forensics
• Пример Cisco Systems – 75000 сотрудников – Автоматический выбор профиля, сертификат сервера не
проверяется
– Аутентификация EAP-FAST по логину и паролю
– Шифрование – TKIP с постепенным переходом на AES
135
Выводы
• не используйте уязвимые протоколы
• используйте для защиты корпоративных сетей
технологии корпоративного класса, MFP
• контролируйте радиосреду на предмет наличия DoS атак
– необходима IDS система
• контролируйте настройки (сапликант) на клиентских ПК -
они самое слабое звено
• используйте заложенные в оборудование функции
• отделяйте зерна от плевел оценивая реальность угроз –
о каких то угрозах можно просто забыть
• Посторонние устройства представляют серьезную угрозу
• Возможность провести расследование НЕОБХОДИМА!!!
А что дальше делал хакер? Получилось?
136
Фокус на абонентов
• Автоматизированные средства распространения обновления для
ПО и антивирусоов
• Принудительное использование VPN при работе вне
корпоративной беспроводной стеи
• От уязвимостей нулевого дня невозможно защититься
137
Рекомендованная литература
• Глава 28 УК РФ. Преступления
в сфере компьютерной
информации
Статья 272 УК РФ.
Неправомерный доступ к
компьютерной информации
Статья 273 УК РФ. Создание,
использование и
распространение вредоносных
программ для ЭВМ
Статья 274 УК РФ. Нарушение
правил эксплуатации ЭВМ,
системы ЭВМ или их сети
138
Рекомендованная литература
139
http://www.oxid.it/
http://www.remote-exploit.org/
http://www.shmoo.com/
http://airsnarf.shmoo.com/
http://rainbowtables.shmoo.com/
http://renderlab.net/projects/WPA-tables/ - WPA-PSK lookup tables for Cowpatty and Aircrack-ng
http://www.digininja.org/
http://www.digininja.org/jasager/usage_web.php
http://hakshop.myshopify.com/ == hakshop.com
http://pyrit.wordpress.com/
http://code.google.com/p/pyrit/
http://www.tomshardware.com/reviews/wireless-security-hack,2981-8.html
http://www.theta44.org/tools.html\
http://www.theta44.org/karma/index.html
http://www.wirelessdefence.org/ - база знаний
http://insecure.org/ - http://nmap.org/
http://habrahabr.ru/company/xakep/blog/143834/
http://code.google.com/p/reaver-wps/ - http://www.tacnetsol.com/products/
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CFIQFjAA&url=https%3
A%2F%2Fdocs.google.com%2Fspreadsheet%2Flv%3Fkey%3D0Ags-
JmeLMFP2dFp2dkhJZGIxTTFkdFpEUDNSSHZEN3c&ei=1wXFT62IBcOAOuzoieYJ&usg=AFQjCNExS2mfRUkv
DFNeV8ed6Ng7Ey_0ww&cad=rja
http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf
http://openwips-ng.org/index.html
http://www.kismetwireless.net/
http://www.aircrack-ng.org/doku.php
http://www.securitytube.net/
Спасибо!