Bảo mật không dây là không chết, tấn công khách hàng với MSF
trừu tượng
An ninh đã được một vấn đề về mạng không dây kể từ khi thành lập của họ, dần dần
di chuyển từ các mạng không an toàn mở cửa cho mạng WEP không an toàn để an toàn hơn WPA
và mạng WPA2. Tại thời điểm này, bảo mật mạng không dây cấp doanh nghiệp là tốt
hiểu, tuy nhiên an ninh của khách hàng trong một môi trường nơi người dùng có thể tự do đi
hệ thống từ một mạng lưới an toàn với một mạng không an toàn vẫn là đáng kể và underexplored
rủi ro.
Bio
Mike Kershaw / Dragorn là tác giả của Kismet, một đa giao thức (nhưng
chủ yếu 802.11) packet sniffer, wardriver, và hệ thống IDS, cũng như LORCON, một
khuôn khổ gói tiêm cho 802,11, và các công cụ OSS bổ sung khác nhau và tạp phẩm,
thường không dây liên quan.
Tổng quan về 802.11
802.11 mạng được xác định bởi một số loại gói tin cơ bản:
1. khung dữ liệu, trong đó có chứa các dữ liệu thực tế trên mạng. khung dữ liệu có thể được
mã hóa ở layer2 (WEP, TKIP hoặc AES) trên mạng được mã hóa, và có thể được dễ dàng
dịch giữa 802.3 Ethernet và 802,11 định dạng. Đặt một thiết bị 802,11 trong
chế độ promiscuous thường sẽ hiển thị các khung dữ liệu cho các trạm tiếp nhận ở 802,3
định dạng, tuy nhiên nó không phải là có thể hiển thị các loại gói khác, và nó không phải là thường
Có thể nhận được khung dữ liệu từ các trạm khác.
khung dữ liệu không chứa xác thực bẩm sinh, trừ khi chúng được mã hóa với một mạnh mẽ
tiêu chuẩn (tức là TKIP hoặc AES). Các mạng mở và WEP chứa không có chứng thực hoặc
bảo vệ replay.
2. khung quản lý, trong đó xác định các hoạt động mạng và kiểm soát. Beacon
khung chứa tên mạng (SSID), cài đặt mật mã, tiết kiệm điện năng điều khiển,
vv Probe request và response khung kiểm soát truy cập của khách hàng vào mạng tại một cơ bản
cấp độ.
khung quản lý có chứa không có cơ chế xác thực, tuy nhiên các tiêu chuẩn như
802.11w và nhà cung cấp tùy chỉnh add-ons tìm cách giải quyết sự thiếu hụt này. Cả hai yêu cầu hỗ trợ
cả trong AP và trong các khách hàng.
khung điều khiển, xử lý rõ ràng-to-send / request-to-send, dữ liệu recipt
thừa nhận, và năng lượng tiết kiệm.
802.11 mạng được về cơ bản chia sẻ phương tiện truyền thông, như tất cả các gói dữ liệu được gửi vào
cùng một kênh và có thể xem được tất cả. Mỗi người sử dụng tùy chọn mã hóa như WPA và
WPA2 có thể giới thiệu một "hầu như chuyển sang lớp", nơi các gói tin không phát sóng là
chỉ decryptable của người tiếp nhận với các khóa mã hóa cho mỗi người dùng.
Không giống như 802,3 mạng trong đó có một nguồn MAC và địa chỉ MAC đích
trong mỗi frame, 802,11 khung dữ liệu chứa ba địa chỉ MAC (hoặc đôi khi bốn, trong
trường hợp hệ thống phân phối lưới):
1. Các nguồn địa chỉ MAC. Đây là nguồn gốc, có thể được một dây
MAC trong trường hợp của một dây mạng bắc cầu / không dây, chỉ MAC của các máy khách không dây, hoặc
MAC của điểm truy cập nếu nó cũng là hành động như một router.
2. Các điểm đến địa chỉ MAC. Điều này có thể, như nguồn, là một thiết bị có dây,
MAC của AP nếu nó là một bộ định tuyến, hoặc chỉ MAC của một thiết bị không dây.
3. BSSID địa chỉ (Basic Service Set Identifier) MAC. Đây là địa chỉ MAC
của các điểm truy cập được tiếp nhận và xử lý các gói tin này. Trong một điểm đa truy cập
mạng, đây là điểm truy cập người dùng hiện đang liên kết với.
Giám sát 802.11 đòi hỏi một thiết bị và trình điều khiển có khả năng cách nhập
"Giám sát" (hay "rfmon") chế độ. Gần như tất cả các phần cứng có khả năng chế độ này (trừ
một số thiết bị nhúng cụ thể với phần mềm hạn chế). Khả năng điều khiển khác nhau; Phần lớn
trình điều khiển trên Linux có khả năng chế độ màn hình, cũng như các trình điều khiển bay trên OSX, và
nhiều lái xe trên * BSD. Hầu hết các trình điều khiển nền tảng Windows là không, tuy nhiên điều này có thể
thay đổi trong mô hình 7 Vista và Windows. CACE Technologies sản xuất một thiết bị,
AirPCAP, thiết kế đặc biệt để chụp chế độ màn hình trên Windows.
Trong khi thông thường là một thiết bị 802,11 trình bày như một giao diện 802.3 Ethernet, trong
chế độ màn hình nó chuyển sang một 802.11 DLT đầy đủ (Data Link Type) và báo cáo tất cả được giải mã
các gói dữ liệu. Chúng bao gồm tất cả các khung dữ liệu, khung quản lý, kiểm soát và khung nhìn thấy,
cho tất cả các mạng trên đó (và lân cận, do chồng chéo nhau) kênh.
Hiện tại 802.11 phòng thủ
Khi chúng ta nói rằng an ninh điểm 802,11 truy cập được hiểu rõ vào thời điểm này,
những gì chúng ta về cơ bản nói là chúng ta có mật mã tốt và đúng cách
người sử dụng cấu hình trên một điểm truy cập WPA-Enterprise có thể tin tưởng rằng họ được kết nối với một
điểm truy cập hợp pháp.
WPA-Enterprise (WPA và WPA2 sử dụng các phương pháp xác thực EAP) các lớp
bảo vệ bổ sung trên layer 802.11. xác thực cho mỗi người dùng (thường là chống lại một
bán kính phụ trợ) được bảo vệ bằng giấy chứng nhận x509, lưu lượng người dùng được tách biệt bởi mỗi người dùng
phím, và cả TKIP và AES cung cấp sự bảo vệ replay trên khung dữ liệu.
Trong khi mô hình này có cơ hội cho sự thất bại (như cấu hình không đúng
khách hàng chấp nhận chứng chỉ không hợp lệ, người sử dụng không được đào tạo chấp nhận chứng chỉ không hợp lệ,
lỗ hổng được phát hiện trong bảo vệ TKIP replay), những điểm thất bại thường có thể được
tránh và không thực sự trong phạm vi của nỗ lực này.
mechanisims vệ trung tâm điểm truy cập trên mạng ít an toàn thường
bao gồm giám sát thụ động, chẳng hạn như phát hiện các điểm truy cập trái phép quảng cáo các
cùng một SSID, và chủ động phản công, chẳng hạn như buộc khách hàng trước đó để ngắt kết nối
từ một điểm truy cập trái phép của deauthentication giả mạo và Tách
các gói dữ liệu.
Truy cập bảo vệ quan điểm của khách hàng thường được kiểm soát bởi các gói tin lọc tại lớp
hai trong điểm truy cập, ngăn chặn khách hàng không dây từ giao tiếp với nhau
khác. Trên hầu hết các nền tảng này được gọi là "bảo vệ liên khách hàng". một số nhà cung cấp
nền tảng có thể cung cấp cơ chế bảo mật bổ sung, chẳng hạn như lọc stateful tại lớp
hai hoặc dịch vụ cụ thể lọc giữa các khách hàng.
Có rất ít phòng thủ chống lại các tấn công từ chối dịch vụ (trừ các "xà beng"
phương pháp, nói cách khác, tìm người phạm tội, và nhấn chúng với một cây xà beng) là 802.11
khung quản lý không được bảo vệ. Ngay cả một WPA-Enterprise nếu không an toàn
mạng sẽ giảm xuống một lũ của gói tách, và không có mạng có thể chịu được một
gây nhiễu phổ rộng ngập kênh với tiếng ồn.
802.11 Injection và Spoofing tấn công
802.11 mạng là dễ bị tổn thương đến một số cuộc tấn công tiêm và giả mạo.
Các cuộc tấn công giả mạo cơ bản nhất là để đưa ra một điểm truy cập thù địch với cùng
SSID là mục tiêu. Các giao thức 802.11 xem xét tất cả các điểm truy cập với cùng SSID
là một phần của cùng một mạng, và sẽ đi lang thang đến các điểm truy cập với các mạnh
tín hiệu. Cuộc tấn công này là rõ ràng nhất, nhưng vẫn có hiệu quả cao.
Một cuộc tấn công tinh vi hơn, và một trong những mà chúng tôi quan tâm nhất, được tiêm
dữ liệu khung trực tiếp cho khách hàng. Bằng cách giả mạo BSSID của các điểm truy cập, nó là
có thể bỏ qua bất kỳ bảo vệ các điểm truy cập có thể cung cấp; Các gói dữ liệu được gửi trực tiếp
đến mục tiêu, và không thể được lọc bởi các điểm truy cập. Cuộc tấn công này là tầm thường so với
mở, mạng không được mã hóa, và chỉ một chút khó khăn hơn khi nhắm mục tiêu WEP
mạng, như là chìa khóa tương tự được sử dụng cho tất cả người dùng trên mạng và được trivially nứt. Một
cuộc tấn công trực tiếp tiêm là về mặt lý thuyết có thể chống lại các mạng WPA-PSK nơi PSK
được biết đến và một khách hàng đang quan sát gắn vào mạng - khi PSK là biết
và các hiệp hội bắt tay được quan sát thấy, chìa khóa PTK mỗi người sử dụng có thể được trích xuất và
lưu lượng giải mã. Có ý nghĩa hơn nữa để thực hiện các cuộc tấn công chống lại
WPA-PSK (chẳng hạn như không làm gián đoạn sự bảo vệ số thứ tự dữ liệu trong TKIP và
AES) mà chưa được khám phá.
LORCON
LORCON (hoặc Mất Radio Control, http://802.11ninja.net) là một packet injection
thư viện cho tầm thường hóa những vấn đề mỗi lái xe của tiêm chích thô 802,11 khung. bắt đầu vào
Năm 2004 của Josh Wright và Mike Kershaw, phiên bản mới nhất (Lorcon2-2009-11) giới thiệu
hội nhập libpcap và một API pcap giống. Phát triển quen thuộc với các API libpcap sẽ
tìm việc thực hiện xử lý tầm thường 802.11 gói.
Hiện nay việc phát hành LORCON2 nhắm Linux lớp điều khiển hạt nhân, mac80211.
Hỗ trợ cho các trình điều khiển cũ như trình điều khiển MadWifi và Linux không như AirPCAP sẽ
được phục hồi sớm.
Một chương trình LORCON2 điển hình sẽ như thế nào:
...
/ * Trình điều khiển tham khảo * /
lorcon_driver_t * dri;
/ * Bối cảnh được sử dụng để theo dõi trạng thái lorcon * /
lorcon_t * ctx;
/ * Dữ liệu gói, khởi tạo tuy nhiên * /
uint8_t gói [...];
/ * Tự động xác định các trình điều khiển * /
dri = lorcon_auto_driver ( "wlan0");
/ * Tạo bối cảnh * /
ctx = lorcon_create ( "wlan0", dri);
/ * Open in màn hình + bơm chế độ * /
lorcon_open_injmon (ctx);
/ * Set kênh * /
lorcon_set_channel (ctx, 6);
/ * Gửi byte tùy ý * /
lorcon_send_bytes (ctx, sizeof (gói), gói);
...
LORCON2 cho phép các nhà phát triển ứng dụng để tóm tắt đi từ trình điều khiển cụ thể
hạn chế và các vấn đề.
http://www.blackhat.com/presentations/bh-dc-10/Kershaw_Mike/BlackHat-DC-2010-Kershaw-dragorn-wifi-security-wp.pdf
An ninh đã được một vấn đề về mạng không dây kể từ khi thành lập của họ, dần dần
di chuyển từ các mạng không an toàn mở cửa cho mạng WEP không an toàn để an toàn hơn WPA
và mạng WPA2. Tại thời điểm này, bảo mật mạng không dây cấp doanh nghiệp là tốt
hiểu, tuy nhiên an ninh của khách hàng trong một môi trường nơi người dùng có thể tự do đi
hệ thống từ một mạng lưới an toàn với một mạng không an toàn vẫn là đáng kể và underexplored
rủi ro.
Bio
Mike Kershaw / Dragorn là tác giả của Kismet, một đa giao thức (nhưng
chủ yếu 802.11) packet sniffer, wardriver, và hệ thống IDS, cũng như LORCON, một
khuôn khổ gói tiêm cho 802,11, và các công cụ OSS bổ sung khác nhau và tạp phẩm,
thường không dây liên quan.
Tổng quan về 802.11
802.11 mạng được xác định bởi một số loại gói tin cơ bản:
1. khung dữ liệu, trong đó có chứa các dữ liệu thực tế trên mạng. khung dữ liệu có thể được
mã hóa ở layer2 (WEP, TKIP hoặc AES) trên mạng được mã hóa, và có thể được dễ dàng
dịch giữa 802.3 Ethernet và 802,11 định dạng. Đặt một thiết bị 802,11 trong
chế độ promiscuous thường sẽ hiển thị các khung dữ liệu cho các trạm tiếp nhận ở 802,3
định dạng, tuy nhiên nó không phải là có thể hiển thị các loại gói khác, và nó không phải là thường
Có thể nhận được khung dữ liệu từ các trạm khác.
khung dữ liệu không chứa xác thực bẩm sinh, trừ khi chúng được mã hóa với một mạnh mẽ
tiêu chuẩn (tức là TKIP hoặc AES). Các mạng mở và WEP chứa không có chứng thực hoặc
bảo vệ replay.
2. khung quản lý, trong đó xác định các hoạt động mạng và kiểm soát. Beacon
khung chứa tên mạng (SSID), cài đặt mật mã, tiết kiệm điện năng điều khiển,
vv Probe request và response khung kiểm soát truy cập của khách hàng vào mạng tại một cơ bản
cấp độ.
khung quản lý có chứa không có cơ chế xác thực, tuy nhiên các tiêu chuẩn như
802.11w và nhà cung cấp tùy chỉnh add-ons tìm cách giải quyết sự thiếu hụt này. Cả hai yêu cầu hỗ trợ
cả trong AP và trong các khách hàng.
khung điều khiển, xử lý rõ ràng-to-send / request-to-send, dữ liệu recipt
thừa nhận, và năng lượng tiết kiệm.
802.11 mạng được về cơ bản chia sẻ phương tiện truyền thông, như tất cả các gói dữ liệu được gửi vào
cùng một kênh và có thể xem được tất cả. Mỗi người sử dụng tùy chọn mã hóa như WPA và
WPA2 có thể giới thiệu một "hầu như chuyển sang lớp", nơi các gói tin không phát sóng là
chỉ decryptable của người tiếp nhận với các khóa mã hóa cho mỗi người dùng.
Không giống như 802,3 mạng trong đó có một nguồn MAC và địa chỉ MAC đích
trong mỗi frame, 802,11 khung dữ liệu chứa ba địa chỉ MAC (hoặc đôi khi bốn, trong
trường hợp hệ thống phân phối lưới):
1. Các nguồn địa chỉ MAC. Đây là nguồn gốc, có thể được một dây
MAC trong trường hợp của một dây mạng bắc cầu / không dây, chỉ MAC của các máy khách không dây, hoặc
MAC của điểm truy cập nếu nó cũng là hành động như một router.
2. Các điểm đến địa chỉ MAC. Điều này có thể, như nguồn, là một thiết bị có dây,
MAC của AP nếu nó là một bộ định tuyến, hoặc chỉ MAC của một thiết bị không dây.
3. BSSID địa chỉ (Basic Service Set Identifier) MAC. Đây là địa chỉ MAC
của các điểm truy cập được tiếp nhận và xử lý các gói tin này. Trong một điểm đa truy cập
mạng, đây là điểm truy cập người dùng hiện đang liên kết với.
Giám sát 802.11 đòi hỏi một thiết bị và trình điều khiển có khả năng cách nhập
"Giám sát" (hay "rfmon") chế độ. Gần như tất cả các phần cứng có khả năng chế độ này (trừ
một số thiết bị nhúng cụ thể với phần mềm hạn chế). Khả năng điều khiển khác nhau; Phần lớn
trình điều khiển trên Linux có khả năng chế độ màn hình, cũng như các trình điều khiển bay trên OSX, và
nhiều lái xe trên * BSD. Hầu hết các trình điều khiển nền tảng Windows là không, tuy nhiên điều này có thể
thay đổi trong mô hình 7 Vista và Windows. CACE Technologies sản xuất một thiết bị,
AirPCAP, thiết kế đặc biệt để chụp chế độ màn hình trên Windows.
Trong khi thông thường là một thiết bị 802,11 trình bày như một giao diện 802.3 Ethernet, trong
chế độ màn hình nó chuyển sang một 802.11 DLT đầy đủ (Data Link Type) và báo cáo tất cả được giải mã
các gói dữ liệu. Chúng bao gồm tất cả các khung dữ liệu, khung quản lý, kiểm soát và khung nhìn thấy,
cho tất cả các mạng trên đó (và lân cận, do chồng chéo nhau) kênh.
Hiện tại 802.11 phòng thủ
Khi chúng ta nói rằng an ninh điểm 802,11 truy cập được hiểu rõ vào thời điểm này,
những gì chúng ta về cơ bản nói là chúng ta có mật mã tốt và đúng cách
người sử dụng cấu hình trên một điểm truy cập WPA-Enterprise có thể tin tưởng rằng họ được kết nối với một
điểm truy cập hợp pháp.
WPA-Enterprise (WPA và WPA2 sử dụng các phương pháp xác thực EAP) các lớp
bảo vệ bổ sung trên layer 802.11. xác thực cho mỗi người dùng (thường là chống lại một
bán kính phụ trợ) được bảo vệ bằng giấy chứng nhận x509, lưu lượng người dùng được tách biệt bởi mỗi người dùng
phím, và cả TKIP và AES cung cấp sự bảo vệ replay trên khung dữ liệu.
Trong khi mô hình này có cơ hội cho sự thất bại (như cấu hình không đúng
khách hàng chấp nhận chứng chỉ không hợp lệ, người sử dụng không được đào tạo chấp nhận chứng chỉ không hợp lệ,
lỗ hổng được phát hiện trong bảo vệ TKIP replay), những điểm thất bại thường có thể được
tránh và không thực sự trong phạm vi của nỗ lực này.
mechanisims vệ trung tâm điểm truy cập trên mạng ít an toàn thường
bao gồm giám sát thụ động, chẳng hạn như phát hiện các điểm truy cập trái phép quảng cáo các
cùng một SSID, và chủ động phản công, chẳng hạn như buộc khách hàng trước đó để ngắt kết nối
từ một điểm truy cập trái phép của deauthentication giả mạo và Tách
các gói dữ liệu.
Truy cập bảo vệ quan điểm của khách hàng thường được kiểm soát bởi các gói tin lọc tại lớp
hai trong điểm truy cập, ngăn chặn khách hàng không dây từ giao tiếp với nhau
khác. Trên hầu hết các nền tảng này được gọi là "bảo vệ liên khách hàng". một số nhà cung cấp
nền tảng có thể cung cấp cơ chế bảo mật bổ sung, chẳng hạn như lọc stateful tại lớp
hai hoặc dịch vụ cụ thể lọc giữa các khách hàng.
Có rất ít phòng thủ chống lại các tấn công từ chối dịch vụ (trừ các "xà beng"
phương pháp, nói cách khác, tìm người phạm tội, và nhấn chúng với một cây xà beng) là 802.11
khung quản lý không được bảo vệ. Ngay cả một WPA-Enterprise nếu không an toàn
mạng sẽ giảm xuống một lũ của gói tách, và không có mạng có thể chịu được một
gây nhiễu phổ rộng ngập kênh với tiếng ồn.
802.11 Injection và Spoofing tấn công
802.11 mạng là dễ bị tổn thương đến một số cuộc tấn công tiêm và giả mạo.
Các cuộc tấn công giả mạo cơ bản nhất là để đưa ra một điểm truy cập thù địch với cùng
SSID là mục tiêu. Các giao thức 802.11 xem xét tất cả các điểm truy cập với cùng SSID
là một phần của cùng một mạng, và sẽ đi lang thang đến các điểm truy cập với các mạnh
tín hiệu. Cuộc tấn công này là rõ ràng nhất, nhưng vẫn có hiệu quả cao.
Một cuộc tấn công tinh vi hơn, và một trong những mà chúng tôi quan tâm nhất, được tiêm
dữ liệu khung trực tiếp cho khách hàng. Bằng cách giả mạo BSSID của các điểm truy cập, nó là
có thể bỏ qua bất kỳ bảo vệ các điểm truy cập có thể cung cấp; Các gói dữ liệu được gửi trực tiếp
đến mục tiêu, và không thể được lọc bởi các điểm truy cập. Cuộc tấn công này là tầm thường so với
mở, mạng không được mã hóa, và chỉ một chút khó khăn hơn khi nhắm mục tiêu WEP
mạng, như là chìa khóa tương tự được sử dụng cho tất cả người dùng trên mạng và được trivially nứt. Một
cuộc tấn công trực tiếp tiêm là về mặt lý thuyết có thể chống lại các mạng WPA-PSK nơi PSK
được biết đến và một khách hàng đang quan sát gắn vào mạng - khi PSK là biết
và các hiệp hội bắt tay được quan sát thấy, chìa khóa PTK mỗi người sử dụng có thể được trích xuất và
lưu lượng giải mã. Có ý nghĩa hơn nữa để thực hiện các cuộc tấn công chống lại
WPA-PSK (chẳng hạn như không làm gián đoạn sự bảo vệ số thứ tự dữ liệu trong TKIP và
AES) mà chưa được khám phá.
LORCON
LORCON (hoặc Mất Radio Control, http://802.11ninja.net) là một packet injection
thư viện cho tầm thường hóa những vấn đề mỗi lái xe của tiêm chích thô 802,11 khung. bắt đầu vào
Năm 2004 của Josh Wright và Mike Kershaw, phiên bản mới nhất (Lorcon2-2009-11) giới thiệu
hội nhập libpcap và một API pcap giống. Phát triển quen thuộc với các API libpcap sẽ
tìm việc thực hiện xử lý tầm thường 802.11 gói.
Hiện nay việc phát hành LORCON2 nhắm Linux lớp điều khiển hạt nhân, mac80211.
Hỗ trợ cho các trình điều khiển cũ như trình điều khiển MadWifi và Linux không như AirPCAP sẽ
được phục hồi sớm.
Một chương trình LORCON2 điển hình sẽ như thế nào:
...
/ * Trình điều khiển tham khảo * /
lorcon_driver_t * dri;
/ * Bối cảnh được sử dụng để theo dõi trạng thái lorcon * /
lorcon_t * ctx;
/ * Dữ liệu gói, khởi tạo tuy nhiên * /
uint8_t gói [...];
/ * Tự động xác định các trình điều khiển * /
dri = lorcon_auto_driver ( "wlan0");
/ * Tạo bối cảnh * /
ctx = lorcon_create ( "wlan0", dri);
/ * Open in màn hình + bơm chế độ * /
lorcon_open_injmon (ctx);
/ * Set kênh * /
lorcon_set_channel (ctx, 6);
/ * Gửi byte tùy ý * /
lorcon_send_bytes (ctx, sizeof (gói), gói);
...
LORCON2 cho phép các nhà phát triển ứng dụng để tóm tắt đi từ trình điều khiển cụ thể
hạn chế và các vấn đề.
http://www.blackhat.com/presentations/bh-dc-10/Kershaw_Mike/BlackHat-DC-2010-Kershaw-dragorn-wifi-security-wp.pdf
Comments
Post a Comment