1. Безопасность беспроводных ЛВС:
как взломали вашу сеть
и как вы могли этого избежать.
Дмитрий Рыжавский
системный инженер
dryzhavs@cisco.com
1

2. Правила взлома беспроводных ЛВС
Содержание
• О чем эта презентация?
• Немного теории и систематизация атак
• Инструментарий – «набор хакера»
• Атаки против WPA-Personal
• DoS-атаки (отказ в обслуживании)
• Уязвимости протокольного уровня
• Ошибки имплементации (внедрения)
• Рассказ о пропавшем абоненте – защита ноутбуков
• Абоненты за пределами офиса
• Посторонние устройства (Rogues)
• Внеканальные посторонние устройства (Rogues)
• Уязвимости WEB-аутентификации
• CUWM – правила самообороны
2

3. Вы получите представление…
• об особенностях обеспечения безопасности WiFi сетей
• какие инструменты доступны для защиты
• о том как могут выглядеть реальные атаки
• к каким проблемам может привести некорректное применение
технологий
• Не справочник по криптографии и методам аутентификации
• Не всеобъемлющий справочник
3

4. Немного теории

5. Семиуровневая модель
TCP/UDP Шифрование?
IP Шифрование?
5

6. Архитектура аутентификации IEEE 802.1X
Терминология IEEE802.1x
• Рекомендована IEEE 802.11 Task Клиент
Group i Сапликант
• Реализована у Cisco с 12/2000
• Основные положительные качества
Extensible
Authenticatio
– Разнообразные типы аутентификации n
– EAP-TLS, PEAP, EAP-FAST, LEAP Protocol
– Централизованное управление (EAP)
временем жизни ключей, проч. Аутентификатор AP
– Генерация индивидуальных сессионных
ключей
– Новые алгоритмы шифрования, в т.ч.
AES как альтернатива RC4 RADIUS
– Взаимная аутентификация
– Использования аппаратных средств
аутентификации
– Централизованный учет доступа Сервер аутентификации
RADIUS
пользователей Server
База
пользователей
6

7. Cisco ACS User Policy Steps
Phase 1 User Authentication
EAP
ACS
Phase 2 User Policy
Allowed WLC
Limited
Access User?
QoS • Silver
ACL • Allow-All
Allowed
Access
VLAN • Employee
7

8. Cisco’s User-Based Policy Solution with ISE
User and Device
Specific Attributes • Device Profiling
ISE • Dynamic Policy
Employees
• Employee VLAN
• Gold QoS
Employee Mobiles
• Employee VLAN
• Gold QoS
• Restrictive ACL Employee
VLAN
Contractors
WLC
• Contractor VLAN Contractor
• No QoS VLAN
• Restrictive ACL
• With the ISE, Cisco wireless can
Contractor Mobiles
support multiple users and device
• No Access types on a single SSID.
8

9. Терминология
Стандарты 802.11i – WPA –
защиты WiFi WPA2
Аутентификация PSK - 802.1x(EAP)
TKIP – WEP – AES-
Шифрование
CCMP
9

10. 5 главных целей злоумышленника:
1. Заблокировать возможность нормальной работы сети
(отказ в обслуживании) - DoS
2. Украсть информацию с клиентских компьютеров
3. Получить доступ к сети как клиент – для этого нужно
украсть учетную запись легитимного пользователя
4. Реализовать атаку Man in the middle, встав на пути
данных между пользователями и информационными
ресурсами
5. Получить возможность пассивно захватывать и
расшифровывать передаваемые данные
10

11. Классификация атак
• Что такое уязвимость?
– Это недостаток, который дает возможность злоумышленнику
снизить защищенность системы (wikipedia)
• Что такое атака?
– Способ использовать уязвимость
• Возможны разные способы классификации
– Пассивные атаки:
– Прослушивание
– Анализ передаваемых данных
– Активные атаки На основе протоколов
– Denial of Service
– Выдать себя за другого Исчерпание ресурсов
– Эскалация прав доступа
11

12. Можно ли обнаружить скрытые SSID (non-Broadcast)
 Можно ли их обнаружить? Ведь в beacon их нет…
• Подождать подключающегося клиента… или организовать DoS
(deauth отключить) чтобы клиент был вынужден
переподключиться вновь
12

13. Hidden SSID (non-Broadcast)
• Администраторы по прежнему «скрывают» SSID в качестве
меры безопасности
• Многие клиентские утсройства лучше работают при
широковещаемом SSID
• Сокрытие даже не экономит РЧ ресурс
• Единственный плюс: нет случайных попыток подлючения со
стороны случайных абонентов
• Разве что, может быть полезно при аудите
13

14. WPA-Personal aka WPA-PSK
“Бывает ли безопасность
домашней?”
Пример протокольной уязвимости

15. WPA-Personal
• Разрабатывалася для использования в домохозяйствах и
сетях небольших офисов, не требует наличия сервера
аутентификации
• WPA-PSK использует pass-phrase, длиной от 8 до 63 ASCII
симоволов
• На основе passphrase генерируется ключ длиной 256 бит

16. WPA(2)-PSK
• Позволяет аутентифицировать обе стороны без Radius сервера
• Простое внедрение, используется домохозяйками
• Если ключ стал доступен, требуется поменять его на всех
устройствах в сети
• Как любой алгоритм с «общим ключом», уязвим к атакам со
словарем/подбору
• Множество ключей от 8 до 63 байт
• Если у хакера есть ключ (PSK) + и записана аутентификация
(EAPoL), он может дешифровать записанный трафик!
16

17. WPA-PSK, механизм работы
17

18. WPS
• Wireless Protection Services
18

19. Лабораторная работа №1
• Произвести онлайн подбор WPS PIN
– Создать интерфейс mon0 при помощи airmon-ng
– Оценить обстановку в радиоэфире используя airodump-ng
– Запустить подбор PIN кода при помощи reaver
• airmon-ng – отображается список поддерживаемых интерфейсов
• airmon-ng start wlan0 – создать мониторинговый интерфейс
• airmon-ng – должен появиться еще один интерфейс mon0
• airodump-ng mon0 – осмотреться в эфире
• wash -i mon0 – кто поддерживает WPS
• reaver –I mon0 –b “BSSID” –e “ESSID” –dh –small – онлайн
атака
19

20. WPA-PSK, рецепт атаки
• Основные компоненты: EAPoL (M1 to M4) + название SSID
• Для 8 символов + чисел: полный подбор, инструмент
www.oxid.itCain: 750 лет
• Для 10 символов + чисел: полный подбор, инструмент Cain tool :
673706 лет
• Слишком долго!!
20

21. 21

22. WPA-PSK GPU атаки
• Простой рабочий компьютер анализирует 2200 комбинаций
ключей в секунду при атаке полного подбора
• Высокопроизводительная GPU видеоадаптер- 52400
комбинаций
• Это между 2.5 года и 61.5 лет против 750 на том же множестве
ключей
22

23. 280 PMK/S - http://pyrit.wordpress.com/
23

24. 24

25. WPA-PSK, особенности
• Обыкновенная атака полного подбора не лучшее решение для
ключей длинее 8 символов
• Атаки со словарем реальны, но от них легко защититься
• Существуют способы «оптимизации» просчетов для взлома
PSK
– Инструменты на базе видео процессора (GPU)
– Аналитические гибридные словари (Rainbow Tables)
– Бот-сети
25

26. Если хочется побыстрее...
26

27. WPA-PSK Rainbow table атаки
• Rainbow table: используют базы
данных хэш-сум для
восставновления паролей
• Можно сгенерировать свою: pyrit (с
поддержкой GPU )
• Можно скачать: “Church of WiFi” 40
GB для 1000 наиболее популярных
имен SSID и 1M возможных паролей,
генерируется микросхемой в течении
3 дней
• Открытые инструменты для
использования Rainbow table
(coWPAtty)
http://imgs.xkcd.com/comics/security.png
• Если SSID подошло, и пароль в
словаре, то востановление пароля
занимает секунды.
27

28. WPA-PSK подводя итоги
• Для того, чтобы по настоящему защититься, Вам необходим по
настоящему случайный пароль, более 12 символов
• Использовать генераторы сложных паролей
• Использовать нестандартные SSIDs
• Помнить, что WPA и WPA2 атаки, не зависят от шифрования.
• Если есть PSK, и EAPoL, можно расшифровать весь траффик
для данной сессии
• Если PSK ключ утерян, необходимо его заменить на всех
устройствах: не лучший вариант для корпоративной защиты
• Не использовать WPS и проверять, что он действительно
отключен
• Обновляйте ПО на точках доступа
28

29. Лабораторная работа №2 - De-authentication attacks
• Деаутентификация:
– Всех клиентов:
• iwconfig mon0 channel 6 – перевод интерфейса на канал
атакуемой AP
• aireplay-ng --deauth 25 –a [BSSID] mon0 – указывается число
деаутентификационных пакетов
– Отдельного клиента:
• aireplay-ng --deauth 25 –a [BSSID] –c [client MAC] mon0
– Всех клиентов: mdk3 [interface] d
• Переполнение таблицы аутентификаций:mdk3 [interface] a -a
[bssid]
29

30. Лабораторная работа №3
• WPS-PSK захват четырехэтапного захвата ключа
• Рашифровка ключа
– Грубой силой (с использованием сопроцессора)
– По словарю
– При помощи rainbow таблиц
Для выполнение этой лабораторной работы установите
предоставленный инструктором скрипт на ваш дистрибутив BT5 R2,
запустите его и следуйте инструкциям.
30

31. Набор инструментов
“Готовь сани летом, а телегу –
зимой.”
-русская народная поговорка

32. Инструментарий – борьба за расстояние
Как далеко находится хакер?
100 метров…. 200 метров .....1000 метров…..?
парковка, соседнее здание, кафе этажом ниже….
Ubiquity SWX-SRC
300mW
32

33. ALFA USB WiFi AWUS036H
Поддерживается в BackTrack 5 Linux, Ubuntu
Доступны драйверы для OSX 10.4, 5, 6, 7* и Windows 98, 2000, XP, Vista and 7.
•Adapter with standard RP-SMA antenna connector
•High gain 5dBi Antenna
•Micro USB Cable
•Best of WiFi DVD
Supports 802.11 b/g, 2.4-2.487 GHz channels 1-14, Managed and Monitor modes
and 1000mW txpower.
$34.99
33

34. Инструментарий – борьба за
расстояние
магнитная
антенна на антенна
крышу авто 18dB
8dB
Yagi-антенна 14dB антенные переходники и адаптеры
Примеры:
адаптеры Ubiquiti Networks http://ubnt.com
антенны Cushcraft http://www.lairdtech.com
кабели и переходники www.digikey.com
34

35. Мобильность
35

36. BackTrack 5 R2 Released! Mar 1st, 2012
http://www.backtrack-linux.org/ 36

37. Домашнее задание
• airbase-ng -
• aircrack-ng -
• airdecap-ng -
• airdecloak-ng -
• airdriver-ng -
• airdrop-ng -
• aireplay-ng -
• airgraph-ng -
• airmon-ng -
• airodump-ng -
• airolib-ng -
• airserv-ng -
• airtun-ng -
• easside-ng -
• packetforge-ng -
• tkiptun-ng -
• wesside-ng -
http://www.aircrack-ng.org/doku.php 37

38. Cain & Abel v4.9.43 released 03/12/2011
http://www.oxid.it/ 38

39. Airmagnet WiFi Analyzer
Quickly understand any Wi-Fi problem
 Automatic analysis of hundreds of problems
 Mobile software goes where the problem is
 AirWISE® Engine provides diagnosis, recommendation
 Hands-on education and guidance
WLAN security
 Ensure every device complies with security policies
 Detect intrusions and vulnerabilities
Expert performance analysis
 Interference analysis
 Investigate any device, channel or traffic
Complete set of active tools to identify, resolve Wi-Fi
issues
AirMagnet Confidential 39

40. Отказ в обслуживании

41. DoS Атаки
• Исчерпание ресурсов
– “Всегда можно отправить чрезмерное количество чего-то”
• На основе протокольных уязвимостей
– “Ping Death”
– Могут быть проблемами определенных устройств или протоколов
• И еще много потенциала в беспроводной среде для DoS атак:
– TKIP MIC, Auth flood, Assoc flood, Deauth, NAV, RF Jamming, etc
– Необходимо оборудование, которое умеет фиксировать и, оптимально,
предотвращать. Cisco?
41

42. DoS – генерация помех
• Легко реализовать, легко обнаружить, невозможно
предотвратить
42

43. DoS TKIP MIC
• Пример атаки на базе протокольной уязвимости
• MIC используется для защиты целостности данных
• Если обнаружены 2 ошибки группового ключа, ТД начинает
включать предотвращающий алгоритм на 60 секунд для данной
SSID
• Уязвимость MIC используется как часть TKIP injection атак
(Beck-Tews, Halvorsen, Ohigashi-Morii)
• Эффект: можно за-DoS-ить любую TKIP сеть
–
43

44. DoS TKIP MIC, рецепт атаки
 Что нам понадобиться?
 Инструмент атаки: mdk3 (поддерживает различные технологии DoS)
44

45. DoS TKIP MIC, можно ли обнаружить атаку?
• Да, ошибки MIC контролируются
– show trapl
– Number of Traps Since Last Reset ............ 427
– Number of Traps Since Log Last Displayed .... 2
– Log System Time Trap
– --- ------------------------ -------------------------------------------------
– 1 Mon May 3 15:26:11 2010 WPA MIC Error counter measure activated on Radio
– with MAC 00:1c:b0:ea:63:00 and Slot ID 0. Station
– MAC Address is 00:40:96:b5:11:19 and WLAN ID is 6
• Можно отключить алгоритм востановления ->
последствия: больше уязвимостей для атак подмены
• Могут присутствовать случайные ошибки
• Оптимальное решение для защиты: использовать
WPA2+AES
45

46. DoS 802.11 floods
• Трафик управления (сигнализация) 802.11 может быть
подменен, т.к. не защищается
• Flood приводит к исчерпанию ресурсов:
• Тысячи источников пытаются подключиться к одной ТД
• Память зарезервирована, association ID использовано,
использование CPU высокое, etc
• Нет простого решения:
• Ограничение скорости обмена информации на ТД
• Client MFP единственный ограничивающий фактор
• Эффект ограничен: временная потеря сервиса
46

47. DoS в 802.11
• Как защититься:
– WLC, 12.4(21a)JY имеет алгоритм предотвращения DoS auth
• Детектирование – оптимальный вариант
• Flood отображаются со стандартными сигнатурами WLC
• Атаки на базе протоколов типа подмены NAV легко
детектируются
• WCS карты могут указать местоположение
• MFP может обнаружить инперсонализированные ТД
• Правила обнаружения посторонних устройств быстро
обнаружат посторонние ТД
47

48. Функция MFP и ее преимущества
• Обнаружение атак: посторонние AP, man-in-the-middle и другие
атаки с манипуляцией управляющими кадрами
– Повышает надежность обнаружения AP и WLAN IDS signature
detection
• Предотвращение атак: будет поддерживаться на абонентах с
функцией проверки ЭЦП (CCXv5 clients)
• Инновации Cisco для обеспечения безопансоти
• Стандарт в разработке—IEEE 802.11w
CCX: http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_concept_home.html
48

49. Management Frame Protection
Concept
Problem Solution
 Wireless management frames are not  Insert a signature (Message Integrity
authenticated, encrypted, or signed Code/MIC) into the management frames
 A common vector for exploits  Clients and APs use MIC to validate
authenticity of management frame
 APs can instantly identify
rogue/exploited management frames
Infrastructure MFP Protected
Probe Requests/
AP Beacons
Probe Responses
Associations/Re-associations Disassociations
Authentications/
Action Management Frames
De-authentications
Client MFP Protected
TECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 49

50. Infrastructure MFP
MIC is added at end of Mngt Frame (before FCS)
 infrastructure MFP is enabled/disabled on the WLC
 1 key for every AP / WLAN
 can be selectively disabled per WLAN, and
validation can be selectively disabled per AP.
 can be disabled on the WLANs that are used by
devices that cannot cope with extra IEs.
 Validation must be disabled on APs that are
overloaded or overpowered
TECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 50

51. Рассказ об украденном абоненте

52. Самое слабое звено – клиентские устройства
• Беззащитные ноутбуки
У злоумышленника больше всего Корпоративная
шансов на успех в случае сеть
организации атаки против
клиентских устрйств
Internet
4. Man in the middle!!!
52

53. Что это?
53

54. Intel ProSet
54

55. Cisco Secure Services Client
55

56. Пользователи…….!!!!!!!!
56

57. WiFi Pineapple
Mark III puts Karma, URL Snarf, DNS
Spoof, ngrep, deauth via Aircrack-NG and
much more at the click of the link. Internet
Connection Sharing has also been greatly
simplified with the Mark III acting as DHCP
server for connecting clients. Phishing
attacks are also built-in with the DNS
Spoofing capabilities -- all configurable
from the PHP-driven web interface.
http://hakshop.myshopify.com 57

58. Social Engineer Toolkit (SET)
http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29
58

59. Karmetasploit is a new implementation of Dino Dai Zovi's original and excellent tool KARMA.
"KARMA is a set of tools for assessing the security of wireless clients at multiple layers.
Wireless sniffing tools discover clients and their preferred/trusted networks by passively
listening for 802.11 Probe Request frames. From there, individual clients can be targeted by
creating a Rogue AP for one of their probed networks (which they may join automatically) or
using a custom driver that responds to probes and association requests for any
SSID. Higher-level fake services can then capture credentials or exploit client-side
vulnerabilities on the host." -http://theta44.org
The main differences between Karma and Karmetasploit it that is Karmetasploit does not
have the limitation of only working on hardware configured with the patched Mad-wifi drivers,
and it also comes with the powerful exploit framework that is metasploit.
59

60. Лабораторная работа N4
AP-less WPA-Personal cracking
60

61. AnyConnect 3.0
Беспалтно вместе с Cisco APs
Основные особенности
• Усовершенствованный
пользовательский интерфейс
• Большой набор протоколов
–IPsec IKE v2 (+ SSL and DTLS)
• Унификация 4 Cisc-клиентов
• Расширенная безопасность и
мобильность
–Интегрированный 802.1x
FREE!!! саппликант (L2 supplicant)
–Integrated posture assessment
(HostScan)
–Wired network identity/security
(802.1x and MACsec)
–Support for ScanSafe cloud security
–Endpoint telemetry feeds
61

62. За стенами офиса...
“Маленькие дети! Ни за что на свете
Не ходите в Африку, В Африку
гулять!”
-Корней Чуковский

63. На охоту за сотрудниками
Алгоритм действий:
1. Хакер узнает MAC адрес
компьютера сотрудника
2. По user id можно узнать
имя
3. База данных «прописка» –
информация об адресе
4. Подкараулить возле дома
63

64. Wi-Fi Positioning System
• Позволяет узнать местоположение
маршрутизатора или точки доступа по его
MAC адресу (BSSID)
• Провайдеры
– Skyhook Wireless, доступен SDK
– Google
– Apple –iPhone/iPad до версии ПО 3.2 в
апреле 2010 использовал Skyhook
• Как можно использовать?
www.eye.fi
64

65. Extends Borderless Network services
from the core to the home
Application of
Borderless Network Industry Standard CAPWAP Encryption using DTLS
services and policies No Impact to controllers | Line rate support for broadband connections
Corporate
Network
WiSM2 / 5500 Home OfficeExtends
Controller modem / router 600 AP
Segments and Supports
Home Network Activities
65

66. Интеграция с сетевыми IPS Cisco
Задача
Предотвратить неправомерное
использование и вредоносную активность
со стороны абонентов WLAN Client Shun
• Анализирует клиентский трафик на
предмет вредоносной активности и
блокирует подключение абонента L2
Вредоносный трафик
IDS
• Глубокий анализ трафика на 3-7 уровнях
OSI
L3-7
• Снижает риск проникнофения «инфекций» IDS
от беспроводных абонентов
Сеть
• Защита нулевого дня от вирусов, предприятия
вредоносного ПО и подозрительных
действий
• IPS блокирует IP aдрес, WLC – MAC адрес
Cisco ASA 5500
Series
w/ IPS
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example0
9186a00807360fc.shtml#ov2 66

67. Протокольные уязвимости

68. Атаки против протокола EAP
• Что такое EAP?
– Extensible Authentication Protocol, RFC 3748
– Архитектура аутентикации на канальном уровне
– Часто используется совместно с протоклами PPP или 802.1x
• Какие протоколы работают поверх EAP? -> множество…
– EAP-MD5: разработка IETF, минимальная безопасность
– LEAP: разработка Cisco, устаревший и уязвимый
– EAP-TLS: RFC 5126, базируется на PKI, защищенный, сложный
– PEAP: общая разработка, поддерживается большинством, много
внутренних методов
– EAP-Fast: базируется на TLS, эволюция LEAP/PEAP, направлен на
более простое внедрение
– И много других: EAP-IKE, EAP-AKA, EAP-TTLS, EAP-SIM, etc, etc…
68

69. EAP Protocols: особенности
EAP- EAP-
PEAP LEAP
TLS FAST
Vulnerable to Off-Line
No No Yes1 No
Dictionary Attacks
Fast Secure Roaming (CCKM) Yes Yes Yes Yes
Local WLC Authentication Yes Yes Yes Yes
Server Certificates Yes Yes No No
Client Certificates Yes No No No
Deployment Complexity High Medium Low Low
RADIUS Server Scalability Low/
High High Low
Impact Medium
1Strong Password Policy Recommended. Please Refer to:
http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_bulletin09186a00801cc901.html
69

70. Односторонняя
аутентификация в EAP-TLS
“…. Человека по одежке встречают”
Пример некорректного использования
технологии

71. EAP-TLS – очень надежен, но если
использовать некорректно…
EAP-TLS защищенный алгоритм аутентификации
– Позволяет двусторонний процесс аутентификации между
сапликантом и сервером аутентификации
– Поддерживается практически всеми производителями
беспроводных решений и клиентов
– Существуют трудности при внедрении: использование PKI
трудоемко, процедура автообновления сертификатов может
быть сложна для реализации в ряде случаев
– Активная поддержка двухфакторных систем (смарткарты,
токены, и т.п.)
– Должным образом защищено: так как же сломать?
– Если правила доверия некорректно настроенны.
71

72. EAP-TLS – защищен, но можно взломать…
EAP-TLS требует 2 сертификата
1. Сервера: идентифицирует аутентикатора, и позволяет
клиенту понять к кому он подключается…
2. Клиента: идентифицирует клиента для проверки
аутентикатором (ТД/WLC, пр)
Типичная проблема: вместо покупки сертификатов у сторонних
служб или разверывания собственной службы CA, клиентские
устройства настраиваются «не проверять сертификат
сервера»(“do not validate”)
72

73. EAP-TLS – защищен, но можно взломать…
ADU
ProSet
73

74. Рецепт атаки на EAP-TLS
• Необходимые ингридиенты:
– Сервер аутнетификации который умеет игнорировать
сертифкат клиента
– Пример: Cisco WLC с соответсвующими настройками, или
FreeRadius www.freeradius.org
– Жертва
– Механизм чтобы вынудить клиента выбрать “свою” точку
доступа для подключения
74

75. Рецепт атаки на EAP-TLS
• Пример настройки контроллера – игнорируем все возможные параметры
– (Cisco Controller) >show local-auth config
– User credentials database search order:
– Primary ..................................... Local DB
– Timer:
– Active timeout .............................. 300
– Configured EAP profiles:
– Name ........................................ cisco
– Certificate issuer ........................ vendor
– Peer verification options:
– Check against CA certificates ........... Disabled
– Verify certificate CN identity .......... Disabled
– Check certificate date validity ......... Disabled
– EAP-FAST configuration:
– Local certificate required .............. No
– Client certificate required ............. No
– Enabled methods ........................... tls
– Configured on WLANs ....................... 1
75

76. FreeRADIUS WPE
Патч к FreeRADIUS для Linux
• FreeRADIUS - Wireless Pwnage
Edition
http://www.willhackforsushi.com/FreeRADIUS_WPE.html 76

77. 77

78. EAP-TLS, методы борьбы
• Политики на Adaptive WIPS позволяют
обнаруживать «фальшивые» точки доступа
• Функционал MFP предупредит о
переиспользовании BSSID
• Встроенная в контроллеры IDS определяет это
как злонамеренную атаку
• Используйте серверные сертификаты!!!
78

79. Лабораторная работа №5
Атака на PEAP и EAP-TTLS:
В случае если на клиентской стороне не верифицируется используемый
RADIUS сервером сертификат, данного клиента возможно обмануть
предоставив ему фальшивую точку доступа:
1. Атакующий производит настройку AP с идентичным SSIDс более сильным
сигналом, чтобы перебить оригинальную точку доступа и
перенаправитьподключающихся клиентов на себя.
2. При подключении клиента к фальшивой APпроисходит переброс
сообщения клиента на RADIUSсервер атакующего с определением
внутреннего протокола аутентификации клиента, а также происходит
завершение TLSтуннеля. При этом происходит захват хэша пароля
клиента для последющей словарной атаки или атаки грубой силой.
Для выполнение этой лабораторной работы установите предоставленный
инструктором скрипт на ваш дистрибутив BT5 R2, запустите его и следуйте
инструкциям. Будет создана программная точка доступа, при подключении к
которой соотвествующего абонента будет захвачен хэш пароля.
79

80. Cisco LEAP
Устаревший метод EAP

81. LEAP
• Поддерживал возможность динамической смены ключа WEP.
• Активно используется для беспроводного, не проводного
разворачивания 802.1x.
• Легко настраиваемый – отсюда название Lightweight EAP.
• Мог быть легко добавлен в беспроводный адаптер, позволяя на
аппаратном уровне реализовать аутентификацию.
81

82. LEAP, рецепт атаки
• Восстановление тривиальных паролей
• Необходимые компоненты:
– Перехват обмена аутентификацией
– Быть терпеливым
• Основные доступные инструменты:
– Asleap (linux, windows port)
http://www.willhackforsushi.com/Asleap.html
– THC-leapcracker
http://freeworld.thc.org/releases.php?q=leap&x=0&y=0
82

83. LEAP – Шаг 1
• Asleap: Использует просчет хэш на основе словаря
• THC-leapcracker: полный перебор (brute force)
• По словарю быстрее, но результат зависит от качества словаря
• Полный перебор: медленно, но позволяет подобрать любой
вариант
83

84. LEAP – Можно ли обнаружить атаку?
• Нет, если атакующий терпелив
• Да, если атакующий использует атаку Deauth (DoS)
• Лучшее предотвращение: не использовать LEAP
84

85. Уязвимость 196
“…. Человека по одежке встречают”
Пример протокольной уязвимости

86. Архитектура стандартов
Pairwise Transient Key (PTK) Group Temporal Key (GTK)
- Свой у каждого абонента - Общий на всех клиентах АР
- Защищает юникаст трафик - Защищает броадкаст и
мультикаст трафик
86

87. Самое слабое звено – клиентские устройства
Проводной сегмент
gateway
3 2
Данные
Данные жертвы в сеть
жертвы в сеть
4
Я gateway
зашифровано GTK
1
87

88. Рецепт
Что можно получить: возможность для Man In The Middle в
условиях невидимости для проводного IDS
Какие протоколы подвежены: 802.1x, WPA-PSK WPA2-PSK,
все!!!
Что нужно для осуществления:
•быть легитимным клиентом сети
•узнать GTK – wpa_supplicant (0.7.0) http://hostap.epitest.fi
•послать в эфир фальшивый ARP ответ - Madwifi (0.9.4)
http://madwifi.org/
Методы защиты:
•Wireless IPS – узнать вовремя
•peer-to-peer blocking mode, функция контроллера -
предотвратить
88

89. Обнаружение, локализация и
подавление посторонних
устройств.
Беспроводная сеть двойного назначения

90. Какие бывают посторонние WiFi устройства?
• Точки доступа
• Домашние маршрутизаторы
• Ноутбуки
• Смартфоны и планшеты
• Принтеры – ad-hoc режим работы

91. Принтер – плацдарм для атаки
Уязвимости ОС и пароли по
умолчанию могут дать
возможность хакеру настроить
встроенный Linux в режим
маршрутизатора
TECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 91

92. Если немного пофантазировать...
• Подарок в виде флэшки, мышки, клавиатуры…
• Пример – USB Rubber Ducky
– http://hakshop.myshopify.com/
92

93. Три этапа работы с посторонними устройствами
• Прослушивание эфира для обнаружения посторонних точек
доступа, клиентов и одноранговых устройств
Поиск
• Классификация на основе RSSI, SSID, наличия клиентов и т.д.
• Проверка на наличие подключения к проводной
инфраструктуре
Описание • Определение порта – Switch Port Tracing
• Отключение портов на коммутаторах
• Определение местоположения
Борьба • Блокировка радиопередачи информации
93

94. Особенности для 802.11n Поиск
802.11n - Mixed Mode
• Детектируется 11a/g устройствами
• Наиболее распространенный режим для 11n АР
• Обеспечивает совместимость с 802.11a/g
устройствами благодаря использованию 11a/g
модуляции для management и control фреймов.
802.11n – Greenfield Mode
• Определяется только 802.11n устройствами
• В этом случае, management, control и data
фреймы передаются с использованием 11n
методов модуляции
94

95. АР в режиме Rogue Detector Classify
Принцип работы
Rogue AP
Authorized AP
Client ARP
L2 коммутируемая сеть
Trunk Port
Rogue Detector AP «на проводе»
 Обнаруживает все ARP пакеты, в т.ч.
Посторонних устройств Rogue Detector
 Контроллер получает от АР-детектора список
MAC-адресов из ARP пакетов
 Не работает с маршрутизаторами и NAT APs 95

96. Rogue Location Discovery Protocol Classify
Принцип работы
Connect as
Client
Managed AP Rogue AP
Send Packet
Routed/Switched Network to WLC
RLDP (Rogue Location Discovery Protocol)
 Подкючаемся к посторонней AP как клиент
 Отправляем IP пакет на собственный IP адрес Controller
 Работает только если не включено
шифрование 96

97. Classify
Трассировка порта коммутатора Switchport Tracing
Принцип работы
Match
Found
2 3
CAM CAM
Table Table
WCS
1
Show CDP
Neighbors
Managed AP Rogue AP
WCS Switchport Tracing
 Определяем по CDP коммутатор, к которому подключена наша AP,
обнаружившая угрозу
 Получение с коммутаторов CAM таблиц и поиск соответствующего MAC
адреса
 Может использоваться при наличии шифрования и использовании NAT 97

98. WCS Switchport Tracing Classify
Как работает
Tracing
выполняется по
запросу по
каждому ПУ
WCS Switch port tracing started for rogue AP 00:09:5B:9C:87:68
Rogue AP 00:09:5B:9C:87:68 vendor is Netgear
Following MAC addresses will be searched:
00:09:5B:9C:87:68, 00:09:5B:9C:87:67, 00:09:5B:9C:87:69
Following rogue client MAC addresses will be searched:
00:21:5D:AC:D8:98
Following vendor OUIs will be searched:
00:0F:B5, 00:22:3F, 00:1F:33, 00:18:4D, 00:14:6C, 00:09:5B
Rogue AP 00:09:5B:9C:87:68 was reported by following APs: 1140-1
Reporting AP 1140-1 is connected to switch 172.20.226.193
Following are the Ethernet switches found at hop 0: 172.20.226.193
Started tracing the Ethernet switch 172.20.226.193 found at hop 0
Tracing is in progress for Ethernet switch 172.20.226.193
MAC entry 00:09:5B:9C:87:69 (MAC address +1/-1) found.
Ethernet Switch: 172.20.226.193, VLAN: 113, Port: GigabitEthernet1/0/33
Finished tracing all the Ethernet switches at hop 0

99. Cisco Rogue Management Diagram
Доступные методы
Switchport Tracing
Ядро сети
Si
Si Si
Wireless Control
System (WCS)
Wireless Распределение
LAN
Controller
Доступ
RRM
RLDP Scanning
Rogue Rogue Rogue Rogue
AP Authorized AP Detector AP
AP
99

100. Методы детектирования проводного Classify
подключения
Сравнение Алгоритм работы Определение… Надежность
1. AP определяет постороннее Open APs Средняя
устройство в эфире Secured APs
2. АР сообщает IP ближайшего NAT APs
коммутатора
Switchport
3. Трассировка начинается с
Tracing
ближайших коммутаторов
4. Администратор отключает порт
1. AP определяет постороннее Open APs 100%
устройство в эфире
NAT APs
2. АР подлючается в качестве клиента
RLDP 3. При успешном подлючении
отправляется RLDP пакет
4. При получении на WLCRLDP пакета
делается соотвествующий вывод
1. Подключение detector AP к транковому Open APs Высокая
порту коммутатора
Secured APs
Rogue 2. АР-детектор получает все
Detector посторонние MAC от WLC NAT APs
3. АР-детектор сопоставляет
посторонние MACs с ARP
100

101. Определение местоположения ПУ Mitigate
По запросу при помощи WCS
• Позволяет определить местоположение отдельных ПУ по запросу
• Не сохраняет историю измения координат ПУ
• Не определяет местоположение клиентов ПУ
WCS

102. Локализация посторонних устройств Борьба
при помощи WCS и MSE
• Единовременная локализация множества посторонних устройств
• Сохранение истории перемещений
• Локализация посторонних клиентских устройств
• Локализация одноранговых клиентских устройств
WCS
102

103. Подавление посторонних устройств Борьба
Принцип работы
Mitigate
Rogue Client
Authorized AP
De-Auth
Packets
Rogue AP
Подавление посторонней AP
 Отправка De-Authentication фреймов посторонним
клиентам и АР
 Могут использоваться local, monitor mode или H-
REAP AP
 Может оказывать негативное влияние на
производительность
103

104. Правила классификации ПУ Classify
Принцип
 Классификация основана на степени опасности угрозы и
действиях по обезвреживанию
 Правила классификации соотносятся с моделью рисков
заказчика
Низкий уровень Высокий уровень
Вне сети Внутри сети
Защищенный SSID Открытый SSID
Неизвестный SSID «Наш» SSID
Слабый RSSI Сильный RSSI
Удаленное расположение На территории КЛВС
Нет клиентов Привлекает клиентов

105. Правила классификации ПУ Classify
Пример
Rogue Rule:
Помечается как
SSID: tmobile
Friendly
RSSI: -80dBm
Rogue Rule:
Помечается как
Обнаружено ПУ SSID: Corporate
Malicious
RSSI: -70dBm
ПУ не
удовлетворяет Помечается как
установленным Unclassified
правилам
Правила хранятся и выполняются на радио-контроллере

106. Автоматическое подавление Борьба
106

107. Изоляция посторонних устройств
Как работает Mitigate
Mitigate
WCS
WLC
От 1 до 4 ТД могут
быть использованы
00:09:5b:9c:87:68 для проведения
изоляции

108. Изоляция посторонних устройств Mitigate
Методы изоляции посторонних ТД
Mitigate
Сценарий Метод изоляции
Только
ПУ
Только Broadcast Deauth кадры
ПУ и их
клиенты
Broadcast и Unicast Deauth кадры

109. Изоляция ПУ
Как работает Mitigate
• Каждые 100мс отсылаются минимум 2 de-auth пакета (20 пакетов в
секунду)
~100мс
3
 ТД в режиме local mode может осуществлять
Local Mode изоляцию до 3-х ПУ на 1 радиоинтерфейс
6  ТД в режиме monitor mode может
осуществлять изоляцию до 6-ти ПУ на 1
Monitor Mode радиоинтерфейс

110. Внеканальные посторонние
устройства
“…. Человека по одежке встречают”
-Народная мудрость

111. 111

112. Атаки при помощи внеканальных посторонних
устройств
• Некоторые Open Source прошивки и драйверы позволяет
очень точно настраивать частоты:
– MadWiFi (http://madwifi-project.org/)–open source
драйверы для микросхем Atheros где доступен hardware
abstraction layer, что позволяет настроить частоту
передачи.
• Проблема – постороннее устройство, передающее не на
стандртном канале (например между 36 и 40) не может
быть обнаружено стандартными мерами.
113

113. Как выглядит внеканальный передатчик?
WiFi Channel 36 Off-Channel Rogue WiFi Channel 40
Center Frequency: Center Frequency: Center Frequency:
5.180GHz 5.189GHz 5.200GHz
• Несущяя частота посторонней АР настроена на
нестандартынй для WiFi канал.
114

114. CleanAir позволяет обнаруживать внеканальные
передатчики
 Cisco CleanAir дает возможность обнаруживать
и определять местоположение любых устройств
на любых частотах.
 Предоставляется информация о
местоположении и пострадавших каналах.
115

115. Wi-Fi и контроль за состоянием РЧ–спектра.
Почему микропроцессорная обработка важна?
• Обычный Wi-Fi чип это по сути процессор-МОДЕМ
• Он знает 2 вещи:
– ВЧ-сигнал, который можно демодулировать = Wi-Fi
– Набор ВЧ-сигналов, который нельзя демодулировать = Шум
• Структура шума сложна –
– Коллизии, фрагменты, повреждения
– Wi-Fi –сигнал ниже порога чувствительности приемника
• Пики Wi-Fi активности могут вызвать все вышеназванные
«эффекты»

116. Высокое спектральное разрешение – ключ к
точному анализу спектра
ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с
высоким разрешением интегрированный в точку доступа
Обычный Wi-Fi чипсет Cisco CleanAir Wi-Fi чипсет
Спектр. сетка с 5 MHz шагом Спектральная сетка с шагом от 78 to 156 KHz
Microwave oven Microwave oven
Power
Power
?
BlueTooth
BlueTooth
‘Восприятие’ чипсетом куска спектра с интерференцией микроволновки и
bluetooth

117. Cisco Unified Wireless Network –
архитектура и принципы
работы механизмов
обеспечения безопасности

118. Отличия адаптивной wIPS от базовой IDS
радио-контроллера
Корреляция • Меньше ложных сигналов
сигналов
тревоги тревоги
Число атак
• Только 17 в базовой IDS
контроллера
Расследования
(Forensics) • Захват пакетов атаки
Историческая • Больше глубина архива и
отчетность обнаружение аномалий

119. Адаптивная wIPS Отличие #1
Аггрегация и корреляция сигналов тревоги
Базовая IDS контроллера Адаптивная wIPS
WCS
WCS
WLC MSE
ТД WLC
ТД
• Нет корреляции сигналов
тревоги

120. Адаптивная wIPS Отличие #2
Обнаруживается большее количество типов атак
Базовая IDS контроллера Адаптивная wIPS
• Только 17 сигнатур

121. Адаптивная wIPS Отличие #3
«Захват» пакетов для проведения расследования

122. Адаптивная wIPS Отличие #3
«Захват» пакетов для проведения расследования

123. Адаптивная wIPS Отличие #4
Историческая отчетность
• Информация о сигналах тревоги хранится в базе данных
(БД) MSE
– Максимум 6 миллионов сигналов тревоги может храниться в
базе данных MSE
• WCS посылает запросы в БД MSE во время создания отчета
• Отчеты создаются и просматриваются в WCS

124. Сканирование радиоэфира в поисках
посторонних устройств Detect
Два различных режима ТД для РЧ-сканирования
ТД в режиме Monitor Алгоритмы обнаружения
ТД в режиме Local Mode
Mode посторонних устройств
• Обслуживание клиентов • Предназначена для • Любая ТД, которая
с переключением на сканирования имеет неизвестные
другие каналы для • Прослушивает каждый значения RF Group
сканирования канал в течение 1.2сек name или mobility group,
• Каждый канал • Сканируются все считается посторонним
прослушивается в каналы устройством
течение 50мс • Автономные ТД,
• В режиме сканирования управляемые с WCS,
можно настроить: автоматически
• Все каналы заносятся в «белый»
список
• Каналы данного
регуляторного домена
(настройка по
умолчанию)
• DCA-каналы

125. РЧ-алгоритм сканирования каналов Detect
точка доступа в режиме Local Mode
ТД на канале 1 - 802.11 b/g/n – Разрешенные в США каналы
10мс10мс
с
16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с
1 2 1 3 1 4 1 5 1 6 1 7 1 …
 Каждые 16с новый канал сканируется в течение 50мс
ТД на канале 36 - 802.11 a/n – Разрешенные в США каналы (без UNII-2 Extended)
10мс 10мс
14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс
36 40 36 44 36 48 36 52 36 56 36 60 36 64 36 149 …
 Каждые 14.5с, новый канал сканируется в течение 50мс

126. РЧ-алгоритм сканирования каналов Detect
точка доступа в режиме Monitor Mode
802.11b/g/n – Все каналы
10мс 10мс
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
1 2 3 4 5 6 7 8 9 10 11 12 …
802.11a/n – Все каналы
10мс 10мс
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 …

127. Адаптивная wIPS
Компоненты и функции
ТД Обнаруж.
атаки
24x7 скан
Over-the-Air Обнаруж.
WLC Настройка
Управление wIPS ТД
Архив. Хранение
MSE сигналов
тревоги
«захват»-
пакетов
Комплексн. Анализ атак,
Криминалистика, Событий
Централиз. Историч.
WCS мониторинг отчетность
Мониторинг,
Отчетность

128. Mobility Services Engine
Поддержка сервисов Cisco Motion
3310 Mobility Services Engine 3355 Mobility Services Engine
Поддержка адаптивной wIPS для 2000 Поддержка адаптивной wIPS для 3000
ТД в Monitor Mode ТД в Monitor Mode
Поддержка Context Aware для Поддержка Context Aware для
отслеживания до 2000 устройств отслеживания до 18000 устройств
Требует WLC ПО версии 4.2.130 или Требует WLC ПО версии 6.0 или выше
выше и WCS версии 5.2 или выше. и WCS версии 6.0 или выше.
• Сервисы мобильности могут иметь другие требования к ПО
WLC/WCS
• Адаптивная wIPS лицензируется по количеству ТД в wIPS
monitor mode

129. • 1. Attack Launched against infrastructure device (‘trusted’ AP)
• 2. Detected on AP
Communicated via CAPWAP to WLC
• 3. Passed transparently to MSE via NMSP
• 4. Logged into wIPS Database on MSE
Sent to WCS via SNMP trap
• 5. Displayed at WCS
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 130

130. Option A Option B
Enhanced
Local Mode Local Mode
WIPS Monitor
Mode/CleanAi
r MMAP +
WIPS MM
WIPS Monitor Mode or CleanAir MM Turn on ELM on all APs
+ WIPS MM on CleanAir AP: (including CleanAir)
Recommendation – Ratio of
1:5 MMAP to Local Mode APs
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 131

131. Руководства по внедрению
• Management Frame Protection
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a008080dc8c.shtml
• Wired/Wireless IDS Integration
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a00807360fc.shtml
• Adaptive wIPS Deployment Guide
–http://www.cisco.com/en/US/docs/wireless/technology/wips/deployment/guide/wipsde
p.html

132. Выводы

133. Невзламываемая сеть – возможно ли?
• Максимальный уровень безопасности
– Аутентификация EAP-TLS + смарт-карты (eToken)
– Принудительное отключение автоматического выбора
профиля на клиентских устройствах
– Проверка серверных сертификатов
– Интеграция с проводными IDS
– Адаптивная беспроводная IDS система с возможностью
Forensics
• Пример Cisco Systems – 75000 сотрудников
– Автоматический выбор профиля, сертификат сервера не
проверяется
– Аутентификация EAP-FAST по логину и паролю
– Шифрование – TKIP с постепенным переходом на AES
134

134. Выводы
• не используйте уязвимые протоколы
• используйте для защиты корпоративных сетей
технологии корпоративного класса, MFP
• контролируйте радиосреду на предмет наличия DoS атак
– необходима IDS система
• контролируйте настройки (сапликант) на клиентских ПК -
они самое слабое звено
• используйте заложенные в оборудование функции
• отделяйте зерна от плевел оценивая реальность угроз –
о каких то угрозах можно просто забыть
• Посторонние устройства представляют серьезную угрозу
• Возможность провести расследование НЕОБХОДИМА!!!
А что дальше делал хакер? Получилось?
135

135. Фокус на абонентов
• Автоматизированные средства распространения обновления для
ПО и антивирусоов
• Принудительное использование VPN при работе вне
корпоративной беспроводной стеи
• От уязвимостей нулевого дня невозможно защититься
136

136. Рекомендованная литература
• Глава 28 УК РФ. Преступления
в сфере компьютерной
информации
 Статья 272 УК РФ.
Неправомерный доступ к
компьютерной информации
 Статья 273 УК РФ. Создание,
использование и
распространение вредоносных
программ для ЭВМ
 Статья 274 УК РФ. Нарушение
правил эксплуатации ЭВМ,
системы ЭВМ или их сети
137

137. Рекомендованная литература
138

138. http://www.oxid.it/
http://www.remote-exploit.org/
http://www.shmoo.com/
http://airsnarf.shmoo.com/
http://rainbowtables.shmoo.com/
http://renderlab.net/projects/WPA-tables/ - WPA-PSK lookup tables for Cowpatty and Aircrack-ng
http://www.digininja.org/
http://www.digininja.org/jasager/usage_web.php
http://hakshop.myshopify.com/ == hakshop.com
http://pyrit.wordpress.com/
http://code.google.com/p/pyrit/
http://www.tomshardware.com/reviews/wireless-security-hack,2981-8.html
http://www.theta44.org/tools.html
http://www.theta44.org/karma/index.html
http://www.wirelessdefence.org/ - база знаний
http://insecure.org/ - http://nmap.org/
http://habrahabr.ru/company/xakep/blog/143834/
http://code.google.com/p/reaver-wps/ - http://www.tacnetsol.com/products/
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CFIQFjAA&url=https%3
A%2F%2Fdocs.google.com%2Fspreadsheet%2Flv%3Fkey%3D0Ags-
JmeLMFP2dFp2dkhJZGIxTTFkdFpEUDNSSHZEN3c&ei=1wXFT62IBcOAOuzoieYJ&usg=AFQjCNExS2mfRUkv
DFNeV8ed6Ng7Ey_0ww&cad=rja
http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf
http://openwips-ng.org/index.html
http://www.kismetwireless.net/
http://www.aircrack-ng.org/doku.php
http://www.securitytube.net/
139

139. Спасибо!